spring security CSRF阻止 REST 方法提交数据

最新推荐文章于 2022-08-12 16:32:13 发布
最新推荐文章于 2022-08-12 16:32:13 发布
阅读量400 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ltgsoldier1/article/details/86242836
版权

security 开启CSRF 会进行提交表单的tocken验证 但是REST方法没有tocken 提交
会阻止REST的DELETE PUT POST方法
解决办法 在thymeleaf里加上

<input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}">

然后 ajax里 加上 头信息

function deleteTable(url, token, tokenVal){  
	console.log($("input[type='hidden']").val() + $("input[type='hidden']").attr("name"))
	//获取tocken
	var val = $("input[type='hidden']").val();
	var name = $("input[type='hidden']").attr("name");
	//.定义headers,提交的时候带上headers的信息。
	var headers = {};
	headers['X-CSRF-TOKEN'] = val;
	var r=confirm("确认删除该数据?");
	if(r){
	   $.ajax({
		url:url,
		type:"DELETE",
		headers: headers,
		statusCode: {  //返回状态码
		   204: function() {
			   console.log( "204" );
			   window.location.reload()
		   },
		   500: function() {
			   console.log( "500" );
		   },
		   400: function() {
			   console.log( "400" );
		   }
		}	
	   });
	}
}

使用form表单提交
//使用form表单方式提交token

function deleteTable(url, token, tokenVal){  
	console.log($("input[type='hidden']").val() + $("input[type='hidden']").attr("name"))
	//获取tocken
	var val = $("input[type='hidden']").val();
	var r=confirm("确认删除该数据?");
	if(r){
	   $.ajax({
		url:url,
		type:"DELETE",
		data: {
			"_csrf": val
		},
		statusCode: {  //返回状态码
		   204: function() {
			   console.log( "204" );
			   //window.location.reload()
		   },
		   500: function() {
			   console.log( "500" );
		   },
		   400: function() {
			   console.log( "400" );
		   }
		}	
	   });
	}
}

form提交的时候,如果出现csrf问题,可将该参数作为隐藏项。跟第二种方式类似。

<input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}">

最后一招禁用csrf
@EnableWebSecurity配置中,禁用CSRF。

http.csrf().disable();
ltgsoldier1
关注
spring-security-jwt-csrf:使用Spring SecuritySpring Boot和Vue js进行无状态JWT身份验证的演示
01-31
基于令牌(Spring Security, 和CSRF) 客户端构建工具 ,Webpack,npm 服务器构建工具 Gradle Безопасность( Security ) JWT令牌 ДлягенерацииипроверкиJWT以及 。 JJWT -...
springsecurity开启csrf拦截axios的post,put,delete请求的解决方案
GuiBing_haonan的博客
04-14 1096
首先,查找原因: 从Spring Security3.2开始,默认就会启用CSRF攻击。   Spring Security通过一个同步token的方式来实现CSRF防护。它会拦截状态变化的请求并检查CSRF token。如果请求不包含CSRF token,或token不能与服务器端的token相匹配,请求将会失败,并抛出CsrfException。 本文主要讲解的是基于springboot框架的解决方案 thymeleaf模板中,在您需要发送请求的表单加上隐藏的input: <input type=
springmvc拦截器对请求参数解密_springboot springmvc拦截拦截POST、PUT、DELETE请求参数和响应数据,并记录操作日志...
weixin_39852953的博客
12-22 388
packagecom.vian.admin.config;importcom.alibaba.fastjson.JSON;importcom.vian.admin.entity.OperationLog;importcom.vian.admin.event.OperationLogEvent;importcom.vian.core.configuration.event.EventPublishe...
securityspring security放行不生效,security放行后还是被拦截,路径变成了/error,security匿名用户无法访问
孟秋与你的博客
05-13 1万+
文章目录security最初的配置初步改进后的配置排查真实原因更加合理的配置 之前写了篇关于security认证的文章 感觉对security了解多了一点,直到遇到过滤器层面的问题,才明白security终究还是那个复杂的securitysecurity最初的配置 @Configuration public class SecuritySecureConfig extends WebSecurityConfigurerAdapter { @Override protected voi
三、通过配置过滤器让普通浏览器支持PUT,DELETE请求
weixin_44568131的博客
10-18 689
要实现delete和put的约定或者是要实现过滤的条件: 1.请求方式必须为post 2.必须要有隐藏域,并且隐藏域的name属性 = “_method” value = "Delete/put" 一、在web.xml中配置过滤器 <!--配置过滤器--> <filter> <filter-name>HiddenHttpMethodFil...
2.自定义配置类——SpringSecurity
Lee_92的博客
08-12 1599
当前Java Web项目中主流的开发模式是前后端分离的模式,而Spring Security默认的登录是由Security框架提供的页面的表单来输入用户名、密码,且由Security框架自动处理登录流程,不适合我们前后端开发的模式,我们后端需要自己开发相关验证登录流程,我们在开发测试时需要对Security 进行初始配置!riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法,我们往往在开发中将此验证关闭。的认证方式相比传统的。...
REST-spring-security.rar_java rest_java security_rest_rest secu
09-24
本项目“REST-spring-security”专注于利用Spring Security来保护基于REST的Web服务,确保数据和API接口的安全。 首先,我们需要理解REST(Representational State Transfer)是一种架构风格,常用于构建可伸缩、高...
demo-security-spring2:java 1.8,带有Spring Boot 2.0 Rest API应用程序的Spring Security
02-04
带有Spring Boot 2.0 Rest API应用程序的Spring Security 开发环境 Java 1.8.0 Spring启动2.0.6 H2 Maven 3.5.4 生成并运行 使用嵌入式数据库H2。 mvn clean package java -jar .\target\demo.jar 测试用户 ...
新一代基于Spring Boot+Spring Security+JWT实现给RestApi增加权限和认证控制的项目
最新发布
05-21
本项目“新一代基于Spring Boot+Spring Security+JWT实现给RestApi增加权限和认证控制”正是针对这一需求而设计的。以下是关于这个项目及其相关技术的详细说明。 **Spring Boot** Spring Boot简化了Spring应用的...
spring-boot-jpa-security-rest
03-13
【标题】"spring-boot-jpa-security-rest"是一个基于Java技术栈的项目,它结合了Spring Boot、JPA、SecurityRESTful API,旨在提供一个快速开发、安全且具有数据库持久化能力的Web服务。让我们深入探讨一下这些...
SpringSecurity(十七)------CSRF
Apple_Andy的博客
10-10 1978
一.引入 从刚开始学习Spring Security时,在配置类中一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭csrf防护。 二.什么是CSRF CSRF即跨站请求攻击。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会绝点是这是真正的用户操作而去运行. 这就利用了web中用户身份认证验证
JavaScript中的 CORS问题
LuckXinXin的博客
11-12 1326
CORS 需要浏览器和后端同时支持。IE 8 和 9 需要通过 XDomainRequest 来实现。 浏览器会自动进行 CORS 通信,实现 CORS 通信的关键是后端。只要后端实现了 CORS,就实现了跨域。 服务端设置 Access-Control-Allow-Origin 就可以开启 CORS。 该属性表示哪些域名可以访问资源,如果设置通配符则表示所有网站都可以访问资源。 虽然设置 CORS和前端没什么关系,但是通过这种方式解决跨域问题的话,会在发送请求时出现两种情况,分别为简单请求和复杂请求。 .
Spring Security笔记:解决CsrfFilter与Rest服务Post方式的矛盾
weixin_34403693的博客
01-06 343
基于Spring Security+Spring MVC的web应用,为了防止跨站提交攻击,通常会配置csrf,即: 1 &lt;http ...&gt; 2 ... 3 &lt;csrf /&gt; 4 &lt;/http&gt; 如果应用中有Post方式访问的Rest服务(参考下面的代码),会很不幸的发现,所有P...
Spring REST 配置CSRF防护
laojiaqi的专栏
09-23 6434
Spring REST 配置CSRF防护内容从以下几个方面展开 什么是CSRF防护 如何运用CSRF进行防御(WEB) 如何将CSRF防御,运用到REST中 1.什么是CSRFCSRF 攻击简单来说,是多Tab页面浏览器的一个安全漏洞,比如你正在访问A网站,此时如果浏览器有你的cookie,并且session没有过期,此时你去访问B网站,那么B网站可以直接调用A网站的接口,而A网站则认为是你本人进行
Spring Boot(七):Spring Security如何启用与禁用CSRF
热门推荐
甘焕的博客
11-06 2万+
Spring Security 4开始,默认启用CSRF机制,本来这也不算什么大事,但与Spring Boot结合在一起,那么实现起来就比较麻烦了,尤其是采用前后端分离式的开发架构后,配置CSRF机制就更困难了,几乎所有网上的解决办法都无法解决如何获取CSRF编码的难题,首先以表单登陆的错误镇楼:There was an unexpected error (type=Forbidden, stat
Spring Boot + Spring Security解决POST方式下的CSRF问题
Rome was not built in one day
03-20 6211
以下配置基于spring boot版本1.4.2.RELEASE,默认引入的spring security版本为4.1.3.RELEASE,页面模板采用thymeleaf。问题现象:HTTP Status 403-Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'...
Spring Security CSRF解决POST请求验证问题
09-23 1万+
.post或者其他的.post 或者其他的.post或者其他的.ajax请求不能访问后台,代码都是对的,但是请求都到不了后台,经过了多方排查,花了几个小时我终于知道了原因。记录一下。 在看浏览器的html代码时发现了有一个隐藏表单 原来是我使用了Spring Security Spring Security 4.0之后,引入了CSRF,默认是开启。不得不说,CSRFRESTful技术有冲突。...
Spring-SecurityCSRF攻击的支持
盲目的拾荒者的博客
04-05 1万+
何时使用CSRF保护 什么时候应该使用CSRF保护?我们的建议是使用CSRF保护,可以通过浏览器处理普通用户的任何请求。如果你只是创建一个非浏览器客户端使用的服务,你可能会想要禁用CSRF保护。(即所有处理来自浏览器的请求需要是CSRF保护,如果后台服务是提供API调用那么可能就要禁用CSRF保护) 配置CSRF保护 CSRF保护默认情况下使用Java配置启用 @Enab...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值