Spring Security - CookieCsrfTokenRepository.withHttpOnlyFalse() 模板

最新推荐文章于 2024-03-31 17:39:40 发布
最新推荐文章于 2024-03-31 17:39:40 发布
阅读量800 收藏 2
点赞数 1
文章标签: java 后端
原文链接:https://pdai.tech/md/develop/security/dev-security-x-csrf.html#spring-security---cookiecsrftokenrepositorywithhttponlyfalse
版权 
@Override
protected void configure(HttpSecurity http) throws Exception {
    //xxx的部分,需要自己根据业务定义
    http
        .authorizeRequests()
            /* allow */
            .antMatchers("/plugins/**", "/api-docs/**") .permitAll()
            .antMatchers("/login", "/logout").permitAll()
            
            /* auth control */
            .antMatchers("/xxx/user", "/xxx/user/**").access("hasAuthority('xxx:user')")
            .antMatchers("/xxx/role", "/xxx/role/**").access("hasAuthority('xxx:role')")

            /* others */
            .anyRequest().authenticated()
           
        /* other Filters */
        .and()
            .addFilterBefore(xxxFilter(), UsernamePasswordAuthenticationFilter.class)
        
        /* iframe */
        .headers()
            .frameOptions()
            .sameOrigin()
        
        /* form login & logout */
        .and().formLogin()
            .loginPage("/login")
            .usernameParameter("username")
            .passwordParameter("password")
            .defaultSuccessUrl("/admin/", true)
        .and().rememberMe()
            .rememberMeParameter("remember")
            .rememberMeCookieName("remember")
        .and().logout()
            .deleteCookies("JSESSIONID")
            .invalidateHttpSession(true)
            .logoutSuccessHandler(new XXXLogoutSuccessHandler(localeResolver()))
            .logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
            .permitAll()
        
        /* csrf */
        .and().csrf()
            .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
//		.and().cors()
    
}

loww
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-rsa-1.0.10.RELEASE-API文档-中文版.zip
05-04
赠送jar包:spring-security-rsa-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-rsa-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-rsa-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
使用http-only进行安全性校验遇到的一点问题
JIA_CHENG的博客
02-25 742
react使用axios进行请求时 设置 axios.defaults.withCredentials=true;//让ajax携带cookie 如果还是无法完成后续的请求 将自定义设置的请求头隐掉即可。
Spring security开启csrf后,一直403并且无法获取csrftoken
Leo的博客
06-29 2289
后端的配置代码中增加 .csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()) 要将http-only设置为false才可以获取 这样就成功了
嗯嗯,老了,写点东西防止忘记(1) 基于验证token防止csrf攻击
m0_37728052的博客
10-26 978
最近坐着负责的系统老是被扫漏洞,心酸不已,对于网络安全防范这块还真不是了解很多,这不就来不坑了么。。。今天遇到的漏洞是csrf攻击,虽然后台对用户session进行了校验,但是道高一尺魔高一丈,整出了xsrf攻击的幺蛾子,本人负责的系统虽然不涉及金钱,但是还是改改吧,所以先去上网看了些资料。 首先什么事csrf攻击:CSRF(Cross Site Request Forgery, 跨站域请求伪造
springboot框架学习 springSecurity5的CSRF保护(cookie跨域保护)
m0_59588838的博客
05-02 2426
昨天遇到的一个毁灭性的bug,前提是我没有系统的了解springsecurity5这款安全框架,它封装管理的一些保护机制,其中导致我明明页面和对应的方法映射写的都好好的,结果就是从一个页面跳转另一个页面报出403错误,且显示得不到任何映射,这就很让我困扰,本来我以为是我controller层的方法写的有问题,做好如下的调试代码: @RequestMapping("query") public User query(String username){ System.out.pr
处理Spring Security在配置好csrf后接口报401问题
永远sayYES的博客
09-22 2064
处理Spring Security在配置好csrf后接口报401问题 现象:接口报401,csrf disable后接口正常200 项目是基于Java Spring boot 2.4.4 写的,原来是csrf是disable的,项目一直跑是没有问题。有一天项目需要配置csrf,不然会有潜在的CSRF风险(跨站请求伪造攻击)。 话不多说,改就完了。 原有配置 http.csrf().disable() 修改后的配置 http.csrf().csrfTokenRepository(CookieCsrfToke
spring-security-core-5.2.0.RELEASE-API文档-中文版.zip
07-13
赠送jar包:spring-security-core-5.2.0.RELEASE.jar; 赠送原API文档:spring-security-core-5.2.0.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.2.0.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-jwt-1.0.10.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-jwt-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-jwt-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-jwt-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
跨站点请求伪造(CSRF攻击)漏洞原理和解决指南
日拱一卒无有尽,功不唐捐终入海
12-15 9173
跨站点请求伪造(CSRF)是一种常见的Web安全漏洞,攻击者利用该漏洞可以以被攻击用户的身份执行未经授权的操作。下面是CSRF攻击的原理:1. 用户登录网站:用户在一个网站上登录,并获取了有效的会话凭证(如Cookie)。2. 攻击者准备攻击页面:攻击者准备一个恶意网页,该网页会在用户浏览器中加载并执行。3. 用户访问恶意网页:用户在登录网站后,访问了攻击者准备的恶意网页,该网页中包含了攻击者构造的恶意请求。
CSRF 攻击
一种感觉的博客
07-14 133
有一次面试的时候,面试官问什么是csrf,怎么防御? CSRF 攻击1.CSRF原理2.如何防御? 1.CSRF原理 CSRF 就是跨域请求伪造, 假设用户打开了招商银行网上银行网站,并且登录。 登录成功后,网上银行会返回 Cookie 给前端,浏览器将 Cookie 保存下来。 用户在没有登出网上银行的情况下,在浏览器里边打开了一个新的选项卡,然后又去访问了一个危险网站。 这个危险网站上有一个超链接,超链接的地址指向了招商银行网上银行。 用户点击了这个超链接,由于这个超链接会自动携带上浏览器中保存的 Co
要学就学透彻!Spring Security 中 CSRF 防御源码解析,Java经典排序算法
最新发布
2401_83621634的博客
03-31 887
虽然我个人也经常自嘲,十年之后要去成为外卖专员,但实际上依靠自身的努力,是能够减少三十五岁之后的焦虑的,毕竟好的架构师并不多。架构师,是我们大部分技术人的职业目标,一名好的架构师来源于机遇(公司)、个人努力(吃得苦、肯钻研)、天分(真的热爱)的三者协作的结果,实践+机遇+努力才能助你成为优秀的架构师。如果你也想成为一名好的架构师,那或许这份Java成长笔记你需要阅读阅读,希望能够对你的职业发展有所帮助。
CSRF 详情讲解 !!!
weixin_52834606的博客
09-05 3091
CSRF 详解 ! spring security 攻击
Spring Security —漏洞防护—跨站请求伪造(CSRF)
深圳市多克创新科技有限公司
10-25 771
Spring Security —漏洞防护—跨站请求伪造(CSRF)
SpringSecurity(10)——Csrf防护
peng_gx的博客
01-20 1583
SpringSecurity Csrf防护
SpringGateway使用SpringSecurity防止CSRF攻击
new_ord的博客
03-14 7456
SpringGateway使用SpringSecurity防止CSRF攻击 配置CSRF保护 @Bean public SecurityWebFilterChain springSecurityFilterChain(ServerHttpSecurity http) { http .csrf(csrf -> csrf.csrfTokenRepository(CookieServerCsrfTokenRepository.withHttpOnlyFalse())) return http.bui
spring-security 前后分离如何获取csrf-token
n_rts的博客
02-16 4141
spingboot+security 前后端分离支持csrf
Springboot+Springsecurity开启csrf跨站请求防护
Nirvana069的博客
11-16 1883
如果配置了springsecrity,默认是开启的,不过大多是项目为了便利,往往会在配置中将其关闭的, .csrf().disable() 不过有些业务场景单纯的认证token不能满足,需要开启csrf防护,找了很久找到了如下方法,做为记录。 配置文件中(WebSecurityConfig)将 .csrf().disable()改为 .csrf().ignoringAntMatchers("XXXX").csrfTokenRepository(CookieCsrfTokenRepositor
org.springframework.security.authentication.InternalAuthenticationServiceException: null at org.springframework.security.authentication.dao.DaoAuthenticationProvider.retrieveUser(DaoAuthenticationProvider.java:123) ~[spring-security-core-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.security.authentication.dao.AbstractUserDetailsAuthenticationProvider.authenticate(AbstractUserDetailsAuthenticationProvider.java:144) ~[spring-security-core-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.security.authentication.ProviderManager.authenticate(ProviderManager.java:199) ~[spring-security-core-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter.attemptAuthentication(UsernamePasswordAuthenticationFilter.java:95) ~[spring-security-web-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter.doFilter(AbstractAuthenticationProcessingFilter.java:212) ~[spring-security-web-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:334) [spring-security-web-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.security.web.authentication.logout.LogoutFilter.doFilter(LogoutFilter.java:116) [spring-security-web-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:334) [spring-security-web-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.security.web.header.HeaderWriterFilter.doHeadersAfter(HeaderWriterFilter.java:92) [spring-security-web-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.security.web.header.HeaderWriterFilter.doFilterInternal(HeaderWriterFilter.java:77) [spring-security-web-5.3.4.RELEASE.jar:5.3.4.RELEASE] at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:119) [spring-web-5.2.9.RELEASE.jar:5.2.9.
07-20
这个异常是Spring Security中的`InternalAuthenticationServiceException`,它表示在身份验证期间发生了内部身份验证服务异常。根据堆栈跟踪信息,异常是由`DaoAuthenticationProvider`的`retrieveUser`方法引发的。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值