Spring security拦截Ajax post请求

最新推荐文章于 2024-03-27 16:29:21 发布
最新推荐文章于 2024-03-27 16:29:21 发布
阅读量909 收藏 2
点赞数
分类专栏: ajax
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41762571/article/details/104499890
版权

Spring Security 进行安全控制

使用Ajax的时候会报 403(ajax get  方式是没问题的 post 的时候会报)

Spring Security 原本是 防止 CSRF 攻击 现在 ajax 被误伤了...

如果是form表单用Ajax提交

方法一:

<form class="form-horizontal"th:action="@{/user}" method="post">

添加action即可。

方法二:

<meta name="_csrf" th:content="${_csrf.token}"/>
<meta name="_csrf_header"  th:content="${_csrf.headerName}"/>

js:

var header = $("meta[name='_csrf_header']").attr("content");
var token =$("meta[name='_csrf']").attr("content");

 

$.ajax({
            url : "",
            type : "POST",
            data : "",
            contentType : 'application/json;charset=utf-8',
            //async : false,
            beforeSend : function(xhr) {
                xhr.setRequestHeader(header, token);
            }, 
            success : function(resdata) {},
            error : function(xhr, ajaxOptions, throwError) { }
       });

韩小扬
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security的csrf防御机制在ajax中的应用
InfoSecPractitioner
11-27 1万+
spring security的csrf防御功能: 在jsp中使用如下代码: ... 上述代码中,等同于: 而,之所以使用spring的替代标签,是因为spring的标签可以自动将token以hidden类型添加到提交的数据当中 在js代码中,使用如下方式: var csrfParameter = $("meta[name='_csrf_para
spring boot security中前端请求后端post
qq_38888706的博客
12-30 726
背景:前端使用thymeleaf,后端使用springboot security,前后端交互post方式一直报错。 原因:springboot security 不允许post,具体原因可自查。 解决方式: 1.thymeleaf模板中添加: <meta name="_csrf" th:content="${_csrf.token}"/> <meta name...
springsecurity开启csrf拦截axios的post,put,delete请求的解决方案
GuiBing_haonan的博客
04-14 1040
首先,查找原因: 从Spring Security3.2开始,默认就会启用CSRF攻击。   Spring Security通过一个同步token的方式来实现CSRF防护。它会拦截状态变化的请求并检查CSRF token。如果请求不包含CSRF token,或token不能与服务器端的token相匹配,请求将会失败,并抛出CsrfException。 本文主要讲解的是基于springboot框架的解决方案 thymeleaf模板中,在您需要发送请求的表单加上隐藏的input: <input type=
springboot3.2.4 集成springSecurity后无法发送post请求
最新发布
qq_27039987的博客
03-27 323
集成spring security,接口无法发送post请求
Spring Security Ajax拦截
weixin_30535843的博客
11-10 319
背景是项目中使用Spring Security 进行安全控制 再使用Ajax的时候会报 403(ajax get 方式是没问题的 post 的时候会报) Spring Security 原本是 防止 CSRF 攻击 现在 ajax 被误伤了... 然后下面贴解决方法,页面的head标签里 下记追加 (这里要说的是用的是thymeleaf模板 所有才会有 th:如果是jsp的话使用EL表...
spring security 3中关于ajax的处理
jackyrongvip的专栏
01-16 189
spring security 3中,对于某些需要保护的url,可以很容易地实现当没权限的时候, redirect到一个页面(比如自定义的404.jsp页面)进行显示没权限的信息; 但有的时候,必须要对一些AJAX请求url也同时判断其是否有权限输出; 如果没权限的话,一般要以JSON的方式返回给用户端,比如弹出一个提示框,显示没权限; 在SPRING security 3中...
SpringSecurity的如何拦截提交POST请求
weixin_34062329的博客
07-21 1579
Spring Security3.2开始,默认就会启用CSRF攻击。  Spring Security通过一个同步token的方式来实现CSRF防护。它会拦截状态变化的请求并检查CSRF token。如果请求不包含CSRF token,或token不能与服务器端的token相匹配,请求将会失败,并抛出CsrfException。 Spring Security已经简化了将token放到请求...
spring security ajax请求与html共存
03-23
当一个Ajax请求被发送时,它会被Spring Security的过滤链所拦截,遵循相同的认证和授权流程。为了区分Ajax和非Ajax请求,我们可以使用`@Secured`或`@PreAuthorize`注解,或者自定义访问决策管理器。 3. **配置Ajax...
Struts2+jQuery ajax的一个商品小系统
11-09
5. **Ajax请求**:在前端,使用jQuery的`$.ajax()`或者更高级的`$.post()`、`$.get()`方法发送Ajax请求,例如添加商品时,将商品信息发送到服务器。 6. **JSP页面**:展示商品列表和详细信息,使用Struts2的标签库...
spring_mvc_test
08-03
- Spring MVC可与Spring Security(安全)、Spring Data(数据访问)、MyBatis(持久层)等技术无缝集成。 在"spring_mvc_test"项目中,包含了基础的Spring MVC实践,以及英文和中文文档,可以帮助开发者快速理解...
spring security请求跨域解决办法+前端发送post请求,body为null
Gentleaman的博客
06-29 569
前端用的是uniapp 因为我们是前后端分离的项目,在我写完登录接口,开始前后端联调的时候发现了问题, 解决起来也是十分方便。 在配置类中加上以下的配置即可 http.cors().configurationSource(corsConfigurationSource()); @Bean CorsConfigurationSource corsConfigurationSource() { CorsConfigurationSource source = new Ur
Spring Security 初识(四)--请求拦截
热门推荐
只有变秃 才能变强
12-29 2万+
Spring Security 初识(四)–请求拦截在我们前面的文章Spring Security 初识(一)中,我们看到了一个最简单的 Spring Security 配置,会要求所有的请求都要经过认证.但是,这并不是我们想要的,我们通常想自定义应用的安全性.因为有些路径我们想要谁都可以访问.Spring Security对此的实现也很简单.关键在于重载 WebSecurityConfigure
排查springsecurity,get请求正常,post请求403错误
码农小麦
08-03 2060
排查使用springsecurity允许目标路径访问,get请求正常,post请求403错误。
Spring Boot中Spring Security POST请求403
myli92的博客
05-12 3533
在使用Spring Security时发现,所有的get请求都可以正常访问,但是post请求一直提示403.最终发现SpringSecrity默认开启CSRF保护。 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式。 可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 方式1:禁用CSRF保
SpringSecurity不允许匿名(anonymous)访问Post接口(403)
secretdaixin的博客
02-09 2125
问题1:系统对外暴露接口,接口路径配置了匿名访问(anonymous),Get请求可正常访问,Post请求报错403或直接跳转到登陆页。 问题2:前端传递token调用匿名接口,报错403,不传递token可正常访问。
spring security 拦截post put delete 请求 ,解决方案
july_young的博客
09-03 5288
使用spring security 做的安全框架时,会自动拦截post,put,delete等请求,这时因为spring security 开启了防止跨域访问攻击的配置,那么怎么解决呢?请往下看: 我使用了thymeleaf在网页的head中添加: &lt;meta name="_csrf" th:content="${_csrf.token}"/&gt; ...
使用 SpringSecurity 发送POST请求出现 403
weixin_49891230的博客
05-16 7162
问题场景 在使用 SpringSecurity 时对一些访问权限进行了设置, 在用户请求资源时出现了403错误 , 通过检查代码发现请求权限是开放的, 并且切换成 GET 请求也是可以通过, 换成POST 请求就无法通过。 解决方法 在 SpringSecurity 中关闭 CSRF 因为 前端向后台发送 post 请求时,必须验证 csrf,否则会报错 403 Forbidden。 @Override protected void configure(HttpSecurity httpSec
Spring Boot 使用 Spring Security 后无法 POST 提交数据解决方法
Shawearn
05-03 1万+
【问题描述】 项目使用的是 spring-boot + spring-security,页面用了 thymeleaf 模板 页面代码如下: username: password: Submit 登录操作代码: /** * 登录操作; * * @param userName 用户名; * @param password 密码;
jquery ajax 跨域post 请求
02-24
jQuery Ajax 跨域 POST 请求是一种通过 jQuery 的 Ajax 方法发送 POST 请求并处理跨域请求的方式。跨域请求是指在浏览器中,通过 JavaScript 代码向不同域名或端口发送请求的情况。 要实现跨域 POST 请求,可以使用以下步骤: 1. 在 HTML 文件中引入 jQuery 库: ```html <script src="https://code.jquery.com/jquery-3.6.0.min.js"></script> ``` 2. 使用 jQuery 的 Ajax 方法发送 POST 请求: ```javascript $.ajax({ url: 'http://example.com/api', type: 'POST', dataType: 'json', data: { key1: 'value1', key2: 'value2' }, success: function(response) { // 请求成功后的处理逻辑 console.log(response); }, error: function(xhr, status, error) { // 请求失败后的处理逻辑 console.log(error); } }); ``` 在上述代码中,`url` 参数指定了请求的目标地址,`type` 参数指定了请求的类型为 POST,`dataType` 参数指定了预期的响应数据类型为 JSON,`data` 参数指定了要发送的数据。 3. 在服务器端设置跨域请求的响应头: 为了允许跨域请求,服务器端需要设置响应头。具体的设置方法根据服务器端语言和框架而定。一种常见的设置方式是在响应头中添加以下内容: ``` Access-Control-Allow-Origin: * Access-Control-Allow-Methods: POST Access-Control-Allow-Headers: Content-Type ``` 上述代码中,`Access-Control-Allow-Origin` 允许所有域名进行跨域请求,也可以指定具体的域名。`Access-Control-Allow-Methods` 指定允许的请求方法为 POST,`Access-Control-Allow-Headers` 指定允许的请求头为 Content-Type。 注意:跨域请求需要服务器端的支持,如果服务器端没有正确设置响应头,浏览器会阻止跨域请求
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值