SpringSecurity 登录页面无法获取CSRF令牌的解决方法

最新推荐文章于 2024-01-26 14:04:11 发布
最新推荐文章于 2024-01-26 14:04:11 发布
阅读量2.6k 收藏
点赞数
分类专栏: spring-security 文章标签: spring-security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oqqLai123456/article/details/64439203
版权

捡重要的说
配置说明:项目是基于maven+springMVC+springSecurity的,maven、web.xml和springmvc具体配置可以百度,具体说下springsecurity.xml的配置,

<http pattern="/init" security="none"/>
<http pattern="/login" security="none"/>

<http auto-config="true">
    <intercept-url pattern="/**" access="hasRole('ROLE_USER')" />
    <form-login
            login-page="/login"
            default-target-url="/welcome"
            authentication-failure-url="/login?error"
            username-parameter="uname"
            login-processing-url="/j_spring_security_check"
            password-parameter="pwd" />
    <logout logout-success-url="/login?logout"  />
    <csrf/>
</http>

如代码所示,我过滤了2条url请求的验证后拦截所有的url请求,springsecurity是4.2.2,由于csrf在4.x之后默认开启,我也就不关闭了,登录页面jsp代码

    <form name='loginForm' action="<c:url value='j_spring_security_check' />" method='POST'>
            <table>
                <form:form>
                <tr>
                    <td>User:</td>
                    <td><input type='text' name='uname' value=''></td>
                </tr>
                <tr>
                    <td>Password:</td>
                    <td><input type='password' name='pwd' /></td>
                </tr>
                <tr>
                    <td colspan='2'><input name="submit" type="submit"  value="submit" /></td>
                </tr>
                </form:form>
            </table>
            <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
        </form>

jsp页面代码中有csrf参数,但是当访问 /login的时候,检查页面源码中发现没有csrf参数,这就奇怪了,因为当springsecurity配置改为
 <http pattern="/init" security="none"/>
    <!--<http pattern="/login" security="none"/>-->
    <http auto-config="true">
        <intercept-url pattern="/admin" access="hasRole('ROLE_USER')" />
        <form-login
                login-page="/login"
                default-target-url="/welcome"
                authentication-failure-url="/login?error"
                username-parameter="uname"
                login-processing-url="/j_spring_security_check"
                password-parameter="pwd" />
        <logout logout-success-url="/login?logout"  />
        <csrf/>
    </http>
    login页面的就有了csrf令牌了。猜测是配置问题,debug之后发现了第一个配置文件的时候,/login过springspecrutiy过滤器时的过滤器链为0,而第二个配置的过滤器链过滤器为13,在这13个过滤器中,有一个过滤器名字为CsrfFilter,这个就是csrf令牌验证过滤器。在这个过滤器中,会先往request请求中放一个token对象,这个对象包含如下参数:
        ![debug下的CsrfFilter文件](https://img-blog.csdn.net/20170321104717410?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvb3FxTGFpMTIzNDU2/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)
      因此,如果直接过滤掉login请求,则springsecurity无法将token放入jsp页面,该页面无论怎么样也无法获取csrf令牌了。
徐by小宝
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用spring-security解决CSRF问题
Frankenstein的博客
04-22 4万+
从配置到原理,一步步讲解如何利用Springsecurity框架来处理scrf问题。
使用SpringSecurity处理CSRF攻击的方法步骤
08-26
主要介绍了使用SpringSecurity处理CSRF攻击的方法步骤,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
CSRF是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。这篇文章主要介绍了SpringSecurity框架下实现CSRF跨站攻击防御,需要的朋友可以参考下
跨站点请求伪造 (CSRF):影响、示例和预防
最新发布
mmxhappy的专栏
01-26 429
跨站点请求伪造 (CSRF/XSRF),是一个 Web 安全漏洞,可诱使 Web 浏览器执行不需要的操作。因此,攻击者滥用 Web 应用程序对受害者浏览器的信任。它允许攻击者部分绕过同源策略,该策略旨在防止不同的网站相互干扰。CSRF 令牌是由服务器端应用程序生成的唯一、不可预测的密钥值,并发送到客户端以包含在客户端发出的后续 HTTP 请求中。颁发令牌后,当客户端发出请求时,服务器会检查请求是否包含预期的令牌,如果令牌丢失或无效,则拒绝它。
spring security CSRF 问题 Invalid CSRF Token 'null' was found on ......
热门推荐
哎幽的成长
02-13 3万+
1. 问题前面几篇博客 spring security在集成spring boot的微服务框架后,实现了cas认证和权限控制。但是在使用 postman 进行调用的时候出现这个问题HTTP Status 403-Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.然
invalid csrf token 问题解决
lepton126的专栏
09-06 2万+
该条消息意是指浏览器无法创建安全的cookie或者无法读取授权登录的cookie,应该是浏览器本身不允许设置cookies。 以下步骤可解决这个问题。 Chrome 打开Chrome的设置。 在隐私设置和安全性版块中,点击Cookies及其他网站数据。 下滑到始终能使用 Cookie 的网站并点击添加。 复制粘贴"[*.]example.com"并点击添加。 然后复制粘贴"[*.]test.net"并点击添加。 点击所有cookies和网站数据,搜索example或test,然后删除所有的相关条目。 重
对于使用Ajax时cookie中找不到csrf_token解决方法
wuliwawa的博客
04-29 1311
问题是这样的,项目中使用的post请求全部是Ajax形式的,而且也使用了 'django.middleware.csrf.CsrfViewMiddleware', 中间件,但是访问页面时却提示找不到csrf_token异常。 解决办法: 在页面任意地方加{% csrf_token %} 原因:CsrfViewMiddleware这个中间件会在页面渲染时,检测{% csrf_tok...
SpringSecurity登录验证没有权限的问题(403)
Memory_2020的博客
07-14 1万+
SpringSecurity登录验证被拦截没有权限的问题
Django REST Framework 解决 CSRF Failed: CSRF token missing or incorrect.
她°
07-08 3602
出现原因 当您使用SessionAuthentication 时,您正在使用 Django 的身份验证,这通常需要检查 CSRF。Django REST Framework 强制执行此操作,仅适用于SessionAuthentication,因此您必须在X-CSRFToken标头中传递 CSRF 令牌。 出现场景 在对外提供一些开放性 api 时,对方是不需要携带 csrf_token 的,但是在我们框架中是使用了 SessionAuthentication 方式对用户进行认证的,自己使用时我们会遵守认证方
详解利用spring-security解决CSRF问题
08-27
主要介绍了详解利用spring-security解决CSRF问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurity的防Csrf攻击实现代码解析
08-24
主要介绍了SpringSecurity的防Csrf攻击实现代码解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring security中的csrf防御原理(跨域请求伪造)
08-25
主要介绍了spring security中的csrf防御机制原理解析(跨域请求伪造),本文通过实例代码详解的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
7.2 使用Security进行权限控制和防止 CSRF
Qiuyuguohou的博客
03-12 4512
Securit进行安全控制和防止CSRF
spring security权限问题
Be_With_I的博客
02-23 479
spring security 总结
Spring Security(十一) Spring SecurityCSRF
奥迪的博客
10-13 9920
从刚开始学习 Spring Security 时,在配置类中一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭 csrf 防护。 1 什么是 CSRF CSRF(Cross-site request forgery)跨站请求伪造,也被称为“OneClick Attack” 或者 Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。 跨域:只要网络协议,ip 地址,端口中任何一个不相同就是跨域请求。 客户
Spring——Security安全框架之没有权限访问处理
专注写bug
02-23 6676
文章目录前言本篇博客做的内容项目创建环境、配置等增加未认证跳转页面配置类中增加无权访问页面跳转配置请求测试前后分离配置先创建无权监测类修改配置类测试代码下载 前言 前面的博客中,针对基于内存、基于数据库的方式实现了用户的校验操作。 同时也对于基于内存、针对部分请求设定访问权限的操作,也做了大致的配置和测试展示。 本篇博客做的内容 自定义403 无权访问的页面; 以及前后分离 403的提示。 项目创建 springboot-security-07。 环境、配置等 参照springboot-security-0
Spring Security】Postman调用时无授权与CSRF验证
锥栗的博客
05-16 1443
Spring Security 是一个强大的、高度可定制的 Java 安全框架,它为基于 Spring 的应用程序提供了全面的安全服务和解决方案。
SpringSecurity (4) CSRFCSRF-TOKEN 的处理
O_o
05-17 9151
本文主要介绍SpringSecuritySpringBoot 整合过程中关于 CSRF 的处理
springsecurity vue结合thymeleaf怎么能够获取${_csrf.parameterName}与${_csrf.token}
weixin_46564011的博客
07-06 599
因为vue中不允许使用${} 所以你是怎么都获取不到的,还有就是你就算在vue中用let x=json转换出来了thymeleaf他已经渲染完毕了你还是获取不到${_csrf.parameterName}与${_csrf.token}你可以这样在html中让他在thymeleaf渲染时先获取了值放到这里,因为我是前后端分离所以表单在js中写着你是没办法直接扔进表单中的 然后在js中你这样写 头顶先定义let变量然后传进去 千万不要在input中 加th:name不然你还是登陆失败 你要直接写name 与va
Spring SecurityCSRF问题如何解决
09-12
Spring Security提供了内置的CSRF保护来防止跨站请求伪造攻击。...综上所述,通过在表单中添加CSRF令牌和配置Spring Security,我们可以有效地解决Spring SecurityCSRF问题,并提供对应用程序的保护[2]。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值