spring security中CSRF中设置不针对某些请求过滤

最新推荐文章于 2024-05-08 04:51:31 发布
最新推荐文章于 2024-05-08 04:51:31 发布
阅读量6.6k 收藏 3
点赞数 2
文章标签: druid springmvc mybatis bootstrap maven
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lvluohao1/article/details/54571735
版权
在spring security 4中,CSRF默认开启: 


Java代码   收藏代码
  1. <http>  
  2.     ...  
  3.     <csrf />  
  4. </http>  


但如果某些URL不想加入CSRF,可以使用下面的办法下载 : 

实现RequestMatcher.这个接口中的方法,在这里排除某些URL不做CSRF,比如: 

Java代码   收藏代码
  1. public class CsrfSecurityRequestMatcher implements RequestMatcher {  
  2.     private Pattern allowedMethods = Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$");  
  3.     private RegexRequestMatcher unprotectedMatcher = new RegexRequestMatcher("/unprotected"null);  
  4.    
  5.     @Override  
  6.     public boolean matches(HttpServletRequest request) {  
  7.         if(allowedMethods.matcher(request.getMethod()).matches()){  
  8.             return false;  
  9.         }  
  10.    
  11.         return !unprotectedMatcher.matches(request);  
  12.     }  
  13. }  


这里,就是针对/unproted开头的URL,都不用做CSRF了 
然后在配置文件中下载 : 

Java代码   收藏代码
  1. <http>  
  2.     <csrf request-matcher-ref="csrfSecurityRequestMatcher"/>  
  3. </http>  
lvluohao1
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring securitycsrf防御原理(跨域请求伪造)
08-25
主要介绍了spring securitycsrf防御机制原理解析(跨域请求伪造),本文通过实例代码详解的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
Spring Security CsrfFilter过滤器用法实例
08-25
主要介绍了Spring Security CsrfFilter过滤器用法实例,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringSecurity request过滤问题
waooi的博客
02-20 393
这里写的就有问题,好久没搞,bean命名还以为是路径映射了,请求的就是/user/register,然后在security把这个请求路径给免授权了,结果访问的时候就被未授权处理器抛出了未授权的信息,看的我一头雾水.然后跟着一步步调试,发现在DispatcherServlet 处理请求时并没找到handler,同时modeAndView也为null然后进入报错,被SecurityContext的处理器给捕获然后从这抛出了异常。使用RequestMapping来添加映射,不知道有没有更加好用的方式。
SpringBoot 如何防御 CSRF 攻击
mry6的博客
04-29 1470
接下来,用户首先访问 csrf-simulate-web 项目的接口,在访问的时候需要登录,用户就执行了登录操作,访问完整后,用户并没有执行登出操作,然后用户访问 csrf-loophole-web 的页面,看到了超链接,好奇这美女到底长啥样,一点击,结果钱就被人转走了。因为在 CSRF 攻击,黑客网站其实是不知道用户的 Cookie 具体是什么的,他是让用户自己发送请求到网上银行这个网站的,因为这个过程会自动携带上 Cookie 的信息。在登录成功后回调的详细解释。
springboot框架学习 springSecurity5的CSRF保护(cookie跨域保护)
m0_59588838的博客
05-02 2361
昨天遇到的一个毁灭性的bug,前提是我没有系统的了解springsecurity5这款安全框架,它封装管理的一些保护机制,其导致我明明页面和对应的方法映射写的都好好的,结果就是从一个页面跳转另一个页面报出403错误,且显示得不到任何映射,这就很让我困扰,本来我以为是我controller层的方法写的有问题,做好如下的调试代码: @RequestMapping("query") public User query(String username){ System.out.pr
详解spring security安全防护
08-27
主要介绍了详解spring security安全防护,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
springSecurity过滤器行为整理
automannn
12-25 631
序 由于客观要求,需要对SpringSecurity流程再做一遍梳理。为了方便流程的理解,我将springSecurity过滤器分为无条件和有条件过滤器。是我亲自做的,不一定严谨,可以用于参看分析springSecurity行为. 无条件过滤器 名称 作用 能否阻断 后置处理 ChannelProcessingFilter 确保通过所需的通道传递web请求 能 无 ConcurrentSessionFilter 并发会话处理包所需的筛选器;实现session的日期更新;检查会话是否过期
如何让某些http请求绕过Filter
moonsheep_liu的专栏
10-11 6625
首先说明,这是个不好的设计的折方案。 场景:两个web服务器,A当做服务端,B为客户端,B通过Hessian远程访问A。A上加了session过期filter,通过用户信息检查session是否过期。这种情况下,Hessian会先发给filter,filter读不到用户信息就
Spring Boot 项目使用Spring Security防护CSRF攻击实战
oscar999的专栏
11-28 909
Spring Boot项目结合Spring Security ,可以实现用户认证和用户授权。 Spring Security的用户认证可以是配置的用户、数据库的用户或者直接整合LDAP, 用户授权上可以根据角色和用户来进行授权。 综合来说, 使用Spring Boot+Spring Security 就可以很好的进行权限的管控了。除此之外, Spring Security 还提供了对CSRF、XSS等安全弱点的防护。
详解如何在spring boot使用spring security防止CSRF攻击
08-27
主要介绍了详解如何在spring boot使用spring security防止CSRF攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解利用spring-security解决CSRF问题
08-27
主要介绍了详解利用spring-security解决CSRF问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurity的防Csrf攻击实现代码解析
08-24
主要介绍了SpringSecurity的防Csrf攻击实现代码解析,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
使用SpringSecurity处理CSRF攻击的方法步骤
08-26
主要介绍了使用SpringSecurity处理CSRF攻击的方法步骤,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurity关闭csrf拦截
Leon_Jinhai_Sun的博客
11-13 2067
然后你开开心心的输入了用户名user,密码user,就出现了如下的界面: 403什么异常?这是SpringSecurity的权限不足!这个异常怎么来的?还记得上面SpringSecurity内置认证页面源码的那个_csrf隐藏input吗?问题就在这了! 完整的spring-security配置如下 <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/sch.
SpringSecuritycsrf防护措施
Leon_Jinhai_Sun的博客
11-16 917
SpringSecuritycsrf防护机制 CSRF(Cross-site request forgery)跨站请求伪造,是一种难以防范的网络攻击方式。 SpringSecurityCsrfFilter过滤器说明 通过源码分析,我们明白了,自己的认证页面,请求方式为POST,但却没有携带token,所以才出现了403权限不 足的异常。那么如何处理这个问题呢? 方式一:直接禁用csrf,不推荐。 方式二:在认证页面携带token请求。 禁用csrf防护机制 在SpringSe.
SpringSecurity - CSRF 防御
TrustNature
10-19 796
SpringSecurity CSRF 防御,我们使用http.csrf.disable()暂时关闭掉了CSRF的防御功能,但是这样是不安全的,那么怎么样才是正确的做法呢? 整体来说,就是两个思路: 生成 csrfToken 保存在 HttpSession 或者 Cookie 请求到来时,从请求提取出来 csrfToken,和保存的 csrfToken 做比较,进而判断出当前请求是否合...
2024年在Maven项目运行JUnit 5测试用例_maven junit5(2),软件测试开发进大厂面试必备技能
最新发布
m0_55004058的博客
05-08 681
相比较JUnit 4而言,JUnit 5一个比较大的改变是JUnit 5拥有与JUnit 4不同的全新的API。因此,在Maven,JUnit 5分模块的,意味着你可以按需引入上面定义的任意模块。这使得引入JUnit 5依赖就有了多个选择。一般而言,力求省事,就可以通过引入junit-jupiter依赖。junit-jupiter就是常用JUnit 5模块的聚合包。
Spring Security设置请求限制和限流
09-08
Spring Security ,你可以使用以下方法来设置请求限制和限流: 1. 请求限制: - 使用 `antMatchers` 方法来设置请求路径的匹配规则,例如 `antMatchers("/api/**").hasRole("ADMIN")` 表示只有拥有 "ADMIN" 角色的用户可以访问 "/api/**" 路径下的接口。 - 使用 `hasRole` 或者 `hasAuthority` 方法来限制用户的角色或权限。 - 使用 `@PreAuthorize` 注解来在方法级别上进行请求限制,例如 `@PreAuthorize("hasRole('ADMIN')")` 表示只有拥有 "ADMIN" 角色的用户可以调用该方法。 2. 限流: - 使用 Spring Cloud 提供的限流组件,如 Netflix Zuul、Sentinel 等。这些组件可以对请求进行限制和限流,可以根据请求频率、QPS(每秒请求数)等指标进行限制。 - 使用基于 IP 地址的限流策略,通过配置框架或自定义过滤器来实现。可以根据 IP 地址来判断请求频率,并且进行相应的限制。 另外,你还可以使用 Spring Security 提供的其他功能来增加安全性,如 CSRF(跨站请求伪造)防护、XSS(跨站脚本攻击)防护等。请根据你的具体需求和系统架构选择适合的方式来设置请求限制和限流。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值