解决Spring Security 表单上传文件CSRF失效的问题

最新推荐文章于 2022-07-28 17:07:36 发布
最新推荐文章于 2022-07-28 17:07:36 发布
阅读量6.2k 收藏 2
点赞数
分类专栏: java Spring 文章标签: Java servlet csrf spring security 文件上传
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/monkeyking1987/article/details/50612587
版权
java 同时被 2 个专栏收录
29 篇文章 1 订阅
订阅专栏
Spring
7 篇文章 0 订阅
订阅专栏


在Spring Security4中引入的CSRF是不错的安全机制. 但在常用的上传文件中(form提交, post, 使用commons-fileupload)会导致CSRF失效,

这问题的根源在于CSRF无法获取表单中的_csrf 的值引起的(可在CsrfFilter打断点查看).


之前我也被这问题困惑了一天, 不知如何是好.

解决之道如下:


1.升级项目中使用的Servlet API版本至3.0及以上. 

2.不要使用commons-fileupload组件,即

CommonsMultipartResolver

, 而使用Servelt提供的组件对象 
StandardServletMultipartResolver
其在Spring MVC中的配置如下: 

	<bean id="multipartResolver"
		class="org.springframework.web.multipart.support.StandardServletMultipartResolver">
	</bean>

3.在Spring MVC的DispatchServlet配置中添加如下配置(web.xml中) 

        <multipart-config>
            <!--location>/tmp</location-->
            <max-file-size>1000000</max-file-size>
        </multipart-config>

其中的<max-file-size>即限制上传文件的大小. 完整的DispatchServelt配置如下: 

	<servlet>
		<servlet-name>mvc</servlet-name>
		<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
		<load-on-startup>2</load-on-startup>
        <multipart-config>
            <!--location>/tmp</location-->
            <max-file-size>1000000</max-file-size>
        </multipart-config>
	</servlet>
	<servlet-mapping>
		<servlet-name>mvc</servlet-name>
		<url-pattern>/</url-pattern>
	</servlet-mapping>


注意在升级Servlet API后需要将web.xml的状况声明也更新为3.0的,如下:

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://java.sun.com/xml/ns/javaee
		  http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
	version="3.0">

至此, CSRF工作正常.

分析大概的原因是commons-fileupload组件对request进行封装时对CSRF的支持有问题. 没将_csrf值传递.



参考文章: http://stackoverflow.com/questions/25185578/spring-security-3-2-csrf-and-multipart-requests


monkeyking1987
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
详解利用spring-security解决CSRF问题
08-27
主要介绍了详解利用spring-security解决CSRF问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring security下fileupload上文件被拦截
邹浩阳的专栏
08-28 8078
fileupload插件github网址 fileupload插件jQuery网站 spring mvc+fileupload例子好了,从刚开始引入js文件的时候就入了坑:<script src="js/jquery.1.9.1.min.js"></script> <script src="js/jquery.fileupload.js"></script> <script src="js/ve
java spring框架文件_spring系列---Security 安全框架使用和文件FastDFS
weixin_39818550的博客
02-24 253
1.Spring Security框架入门1.1 Spring Security简介Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖...
spring系列---Security 安全框架使用和文件FastDFS
weixin_34279579的博客
09-11 539
1.Spring Security框架入门 1.1 Spring Security简介 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Con...
spring security login csrf 失效问题
weixin_30449239的博客
04-12 334
如果要使用csrf,login 页面不能定义为 <http security="none" pattern="/user/login.*" /> 因为所有过滤器都不起作用了,包括 csrf 过滤器 要定义为:access="permitAll" <http> <intercept-url pattern="/user/**" ...
springsecurity注意事项
慕孑晨的博客
07-28 420
springsecurity
SpringBoot集成SpringSecurity图片上实时刷新
你我皆是黑马
03-09 721
SpringBoot集成SpringSecurity图片上实时刷新 1、问题 因为SpringBoot集成了SpringSecurity图片上访问就有问题了,SpringSecurity会过滤掉一些静态文件,而且这时已经不能用WebMvcConfigurer去映射静态文件路径,但Spring官网给了我们另一个解决办法,WebMvcConfigurationSupport集成这个类,然后重写addResourceHandlers方法,这样就可以解决了,至于在配置文件配置静态资源文件路径这是没有用的,而且这
Spring Security入门(十一) 使用Spring MVC开发RESTful API-文件的上和下载
上千主上-贝库塔
05-06 582
一.导学 Spring boot中如何处理文件和下载的 在前后端分离的环境里面,尤其是现在前端技术 页面都是SPA(单面应用) 不会有刷新 单提交 都是异步完成的 上文件 给一个id 给一个路径 存在单中 提交单提交一个路径 先写个测试用例吧 注意:fileUpload方法过期了 @Test public void whenUploadSuccess() throws E...
7.2 使用Security进行权限控制和防止 CSRF
Qiuyuguohou的博客
03-12 4518
Securit进行安全控制和防止CSRF
SpringSecurity的防Csrf攻击实现代码解析
08-24
主要介绍了SpringSecurity的防Csrf攻击实现代码解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
CSRF是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。这篇文章主要介绍了SpringSecurity框架下实现CSRF跨站攻击防御,需要的朋友可以参考下
spring security中的csrf防御原理(跨域请求伪造)
08-25
主要介绍了spring security中的csrf防御机制原理解析(跨域请求伪造),本文通过实例代码详解的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
spring security CSRF防护的示例代码
08-26
主要介绍了spring security CSRF防护的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Security 与 Oauth2 整合 步骤
热门推荐
MONKEYK
11-19 14万+
为什么要写 1. spring-security-oauth2的demo 不容易让开发者理解, 配置的内容很多, 没有分解的步骤; 我曾经试着按照文档(https://github.com/spring-projects/spring-security-oauth/blob/master/docs/oauth2.md) 配置了几次, 结果全失败, 无一成功(说实话, 这是第二次在实际项目中使用spring & oauth,但还是花了不少时间才完全弄清楚);甚至有时候找错误的原因都不好找. 2.Oauth应该
JS中使用EL达式
MONKEYK
12-05 11万+
分两种情况 1. JS代码在JSP页面中, 这可以直接使用EL达式. 如: $(function () { new BacklogOverview("${param.alert}"); }); 2.JS代码是单独的.js 文件, 通过引入到 JSP中来.这时候可通过提前定义JS变量的形式的解决,如:
解决 Mybatis 元素类型为 "resultMap" 的内容必须匹配 "(constructor?,id*,result*,association*,collection*,discriminat
MONKEYK
08-05 5万+
在配置 mybatis mapper.xml文件时, 一不小心就会报如下类似的异常: Caused by: org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'sqlSessionFactory' defined in class path resource [testAp
Java Swing日期,时间选择控件
MONKEYK
01-06 2万+
这是一个使用JAVA SWING 封装的 日期,日期与时间选择的控件(JDialog). 该工具于2010年已经上到CSDN资源, 下载地址为: http://download.csdn.net/detail/monkeyking1987/2534062 现在, 把该小控件的源码也放在了开源 GIT 库  OSCHINA上, 访问地址: http://git.oschina.
Tomcat 停止时 JAVA进程未停止 的解决方法
MONKEYK
06-26 2万+
我想, 当你搜索到这篇文章时, 你也是在为Tomcat服务器在停止时输出以下的日志而犯愁吧. 2013-6-26 20:18:20 org.apache.catalina.loader.WebappClassLoader clearReferencesThreads 严重: The web application [] appears to have started a thread nam
JAVA POI 自定义颜色
MONKEYK
03-25 1万+
JAVA  POI 中使用颜色的类叫:  HSSFColor, 它默认提供了几十种常用的颜色,如BLANK; BLUE等, 且许多时候都是使用HSSFColor的index属性值(如 HSSFColor.BLUE.index) ; 但在实际应用中, 这些已经定义的颜色并不能满足需求(如客户给你一个RGB颜色值255,204,153; 并要求导出的Excel中使用这个颜色). 我们需要H
Spring SecurityCSRF问题如何解决
最新发布
09-12
Spring Security提供了内置的CSRF保护来防止跨站请求伪造攻击。默认情况下,从Spring Security 4.0开始,CSRF保护已启用。该保护针对PATCH,POST,PUT和DELETE方法进行防护。在启用了@EnableWebSecurity注解后,CSRF保护会自动生效。 为了解决Spring SecurityCSRF问题,可以采取以下步骤: 1. 在单中添加CSRF令牌:要保护单提交,可以在单中添加隐藏域来包含CSRF令牌。使用Thymeleaf或者其他模板引擎,可以使用以下代码将CSRF令牌添加到单中: ``` <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" /> ``` 这样,提交单时会将CSRF令牌一并发送到服务器,以确保请求的合法性。 2. 配置Spring Security:可以通过编写自定义的Spring Security配置来进一步定制CSRF保护。可以通过扩展WebSecurityConfigurerAdapter类来实现自定义配置,并覆盖configure方法。在configure方法中,可以使用csrf()方法来配置CSRF保护的细节,如禁用CSRF保护、设置CSRF令牌的名称等。 综上所述,通过在单中添加CSRF令牌和配置Spring Security,我们可以有效地解决Spring SecurityCSRF问题,并提供对应用程序的保护[2]。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值