Spring Security4配置CSRF问题记录

最新推荐文章于 2024-05-19 01:21:21 发布
最新推荐文章于 2024-05-19 01:21:21 发布
阅读量734 收藏
点赞数
分类专栏: spring 文章标签: spring spring security csrf security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_17194815/article/details/78968417
版权

spring security4默认是开启csrf的,所以在登陆页面需要添加

<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>

如上,可以获取到csrf的token值,但是,一般情况下我们都会将登录页的安全配置为none,这样的话登录页面就不属于security的管理范围之内了,所以就会导致在登录页面无法获取到csrf的token值。

此时,我们可以将登录页的安全过滤配置为“ROLE_ANONYMOUS”这样登录页就可以在security的管理之下可以不需要登陆访问也可以获取到token值。

注意:
csrf默认的过滤验证对于请求为“GET”, “HEAD”, “TRACE”, “OPTIONS” 的方法不尽兴验证,所以如何请求为post等方法则需要带上token在请求头中,如果是使用的ajax请求则可以使用如下方法:

$(document).ajaxSend(function(e,xhr,options){
    xhr.setRequestHeader(header,token);
});

header和token都可以使用el表达式直接在页面获取,因为security将csrf的相关信息都保存在了session中,以上就是csrf得相关配置。

bigger_bug
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security4.2 配置CSRF防御场景
03-02 411
文章目录1.首先,确保在springSecurity.xml里没有把csrf关掉,即配置文件中不要出现以下代码:2.一般form表单3.对于Ajax和JSON请求4.上传文件,Multipart 1.首先,确保在springSecurity.xml里没有把csrf关掉,即配置文件中不要出现以下代码: <security:http> <!--如果需要使用csrf,请注释下行配置--> <security:csrf disabled="true"/> <
Spring REST 配置CSRF防护
laojiaqi的专栏
09-23 6413
Spring REST 配置CSRF防护内容从以下几个方面展开 什么是CSRF防护 如何运用CSRF进行防御(WEB) 如何将CSRF防御,运用到REST中 1.什么是CSRFCSRF 攻击简单来说,是多Tab页面浏览器的一个安全漏洞,比如你正在访问A网站,此时如果浏览器有你的cookie,并且session没有过期,此时你去访问B网站,那么B网站可以直接调用A网站的接口,而A网站则认为是你本人进行
Spring Security4 之 csrf
weixin_34217773的博客
11-13 162
为什么80%的码农都做不了架构师?>>> ...
spring security4 之 csrf
05-20 3040
spring security4增加了csrf, 而且默认是启用的,所以如果你是auto-config="true",那么就已经启用了csrf, 在http节点中可以对其进行配置  所以意味着页面提交的信息中需要包含csrftoken, 如果是从spring security3签约过来很容易在这里被绊倒 请求的验证匹配规则,官网是这样的 The RequestMatcher inst
SpringSecurityCSRF、环境配置、授权、认证功能、记住我功能实现
m0_73976305的博客
06-08 962
SpringSecurity CSRF跨站请求伪造攻击 开发环境搭建 认证 直接认证 使用数据库认证 自定义登录界面 授权 基于角色的授权 基于权限的授权 使用注解判断权限 记住我 SecurityContext
基于java config的springSecurity(三)--加入RememberMe,启用CSRF和增强密码
热门推荐
xiejx618的专栏
01-12 1万+
参考http://docs.spring.io/spring-security/site/docs/3.2.5.RELEASE/reference/htmlsingle/的Remember-Me Authentication和Cross Site Request Forgery (CSRF) 一.加入remember me 1.修改配置 @Override protected v
详解利用spring-security解决CSRF问题
08-27
详解利用Spring Security解决CSRF问题 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF是一种常见的Web攻击方式,它可以在用户...
SpringSecurity的防Csrf攻击实现代码解析
08-24
Spring SecurityCsrf 攻击实现代码解析 Spring Security 中的 Csrf 攻击防御机制是通过 CsrfFilter 来实现的,该类继承自 OncePerRequestFilter,並在 doFilterInternal 方法中实现了 Csrf Token 的生成、验证...
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
SpringSecurity框架下实现CSRF跨站攻击防御的方法 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。在SpringSecurity框架下,...
使用SpringSecurity处理CSRF攻击的方法步骤
08-26
主要介绍了使用SpringSecurity处理CSRF攻击的方法步骤,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurity(10)——Csrf防护
peng_gx的博客
01-20 1788
SpringSecurity Csrf防护
spring security CSRF防护
m0_67403272的博客
04-13 473
CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一。 从Spring Security 4.0开始,默认情况下会启用CSRF保护,以防止CSRF攻击应用程序,Spring Security CSRF会针对PATCH,POST,PUT和DELETE方法进行防护。 我这边是spring boot项目,在启用了@EnableWebSecurity注解后,csrf保护就自动生效了。 所以在默认配置下,即便已经登录了,页面中发起PATCH,POST,PUT和DEL
SpringSecurityCSRF的支持实践
小小默:进无止境
07-02 774
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
Spring Security CSRF 保护指南
allway2的博客
11-05 771
这可以保护我们的应用程序免受 CSRF 攻击,因为攻击者无法从自己的页面获取此令牌。我们的无状态 API 不能像我们的 MVC 配置那样添加 CSRF 令牌,因为它不会生成任何 HTML 视图。现在,如果不包含CSRF令牌,POST请求将失败,这当然意味着早期的攻击不再是一种选择。现在我们了解了CSRF攻击的样子,让我们在Spring应用程序中模拟这些示例。如果我们跟踪来自此攻击者页面的请求,我们将能够发现命中原始应用程序的请求。所解释的,我们需要了解我们的无状态 API 是否需要 CSRF 保护。
SpringSecurity (4) CSRFCSRF-TOKEN 的处理
O_o
05-17 9658
本文主要介绍SpringSecuritySpringBoot 整合过程中关于 CSRF 的处理
Spring Boot | Spring Boot “CSRF 防护功能“ 、Security “管理前端页面“
最新发布
m0_70720417的博客
05-19 1343
目录: 一、SpringBoot 中 自定义 "用户授权管理" ( 总体内容介绍 ) 二、实现 "CSRF" 防护功能 ( 通过 "HttpSecurity类" 的 csrf( )方法来实现 "CSRF" 功能 ) : 1. "关闭" CSRF 防护功能 : ① 创建好 "基本的项目" ② 创建数据修改页面 ③ 编写后台控制层方法 ④ CSRF 默认防护效果测试 ⑤ 关闭 Security 的 " CSRF 防御功能" ......
spring security csrf 学习笔记
devotedwife的博客
11-08 989
spring security csrf 学习笔记
SpringSecurity 登录页面无法获取CSRF令牌的解决方法
oqqLai123456的博客
03-21 2717
捡重要的说 配置说明:项目是基于maven+springMVC+springSecurity的,maven、web.xml和springmvc具体配置可以百度,具体说下springsecurity.xml的配置,<http pattern="/init" security="none"/> <http pattern="/login" security="none"/><http auto-con
Spring SecurityCSRF问题如何解决
09-12
Spring Security提供了内置的CSRF保护来防止跨站请求伪造攻击。默认情况下,从Spring Security 4.0开始,CSRF保护已启用。该保护针对PATCH,POST,PUT和DELETE方法进行防护。在启用了@EnableWebSecurity注解后,CSRF保护会自动生效。 为了解决Spring SecurityCSRF问题,可以采取以下步骤: 1. 在表单中添加CSRF令牌:要保护表单提交,可以在表单中添加隐藏域来包含CSRF令牌。使用Thymeleaf或者其他模板引擎,可以使用以下代码将CSRF令牌添加到表单中: ``` <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" /> ``` 这样,提交表单时会将CSRF令牌一并发送到服务器,以确保请求的合法性。 2. 配置Spring Security:可以通过编写自定义的Spring Security配置来进一步定制CSRF保护。可以通过扩展WebSecurityConfigurerAdapter类来实现自定义配置,并覆盖configure方法。在configure方法中,可以使用csrf()方法来配置CSRF保护的细节,如禁用CSRF保护、设置CSRF令牌的名称等。 综上所述,通过在表单中添加CSRF令牌和配置Spring Security,我们可以有效地解决Spring SecurityCSRF问题,并提供对应用程序的保护[2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值