springsecurity配置csrf,ajax发送post请求访问

最新推荐文章于 2022-11-28 10:47:09 发布
最新推荐文章于 2022-11-28 10:47:09 发布
阅读量1.7k 收藏 2
点赞数
文章标签: spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51961167/article/details/124392636
版权

 找了半天参差不齐的文章,最终解决了,为了防止别人被误导,实测能行的配置

security配置

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
                .ignoringAntMatchers("/login.html", "/login", "/logout")
                .and()
                .authorizeRequests()
                .antMatchers("/login.html", "/login").permitAll()
                .anyRequest().authenticated()

                .and()
                .formLogin()
                .loginPage("/login.html").loginProcessingUrl("/login")
         
                .defaultSuccessUrl("/")
                .and()
                .logout()
                .logoutRequestMatcher(new AntPathRequestMatcher("/logout","POST"))
                //使得session失效
                .invalidateHttpSession(true)
                .deleteCookies("JSESSIONID")
                .deleteCookies("XSRF-TOKEN")
                //清除认证信息
                .clearAuthentication(true)
                .logoutSuccessUrl("/login.html").permitAll()


                .and()
                .sessionManagement()
                .invalidSessionUrl("/login.html")
                .maximumSessions(1).sessionRegistry(new SessionRegistryImpl())
    }

  引入

<script type="text/javascript" src="https://cdn.staticfile.org/jquery-cookie/1.0/jquery.cookie.js"></script>

        //获取浏览器中的cookie
        let _csrf = $.cookie('XSRF-TOKEN');
        $.ajax({
            url:"/book/search",
            async: false,
            type: 'post',
            //添加csrf请求头 网上很多错误的headers配置
            headers:{"X-XSRF-TOKEN":_csrf, "Content-Type":"application/json"},
            withCredentials: true,
            ContentType: 'application/json; utf-8',
            //自己定义请求体数据
            data: JSON.stringify({"key":"data"}),
            dataType: 'json',
            //按照自己的返回体自行配置
            success: (response) => {
                if (response) {
                    if (response.code === 0) {
                        console.log(response.data.data);
                    }
                    else {
                        alert(response.message);
                    }
                } else alert("服务器后端未启动");
            }
        })

这样就可以了

Cofecatt
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring securitycsrf防御机制在ajax中的应用
InfoSecPractitioner
11-27 1万+
spring securitycsrf防御功能: 在jsp中使用如下代码: ... 上述代码中,等同于: 而,之所以使用spring的替代标签,是因为spring的标签可以自动将token以hidden类型添加到提交的数据当中 在js代码中,使用如下方式: var csrfParameter = $("meta[name='_csrf_para
Spring security - post请求不了,报错:405错误
brucechen110的博客
04-08 4052
主要问题在:SecurityConfig 文件中的配置存在问题,需要把:csrf防护给关闭掉(security默认是打开的) 以下是详细代码实例: package com.zsdag.config; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.an...
纯html ajax,Spring security csrf实现前端纯html+ajax(示例代码)
weixin_31516987的博客
06-16 141
spring security集成csrf进行post请求时,为了防止csrf攻击,需要获取token才能访问因此需要添加动态获取token这样的话,需要使用jsp或模板引擎但又想使用纯html+ajax.很难受最近想到了一个办法通过ajax获取token,后端仍使用jsp或freemarker之类的模板引擎但前端可实现纯html+ajax,瞬间感觉释放首先定义一个模板_csrf.ftl或_cs...
切记ajax中要带上AntiForgeryToken防止CSRF攻击
10-23
在程序项目中经常看到ajax post数据到服务器没有加上防伪标记,导致CSRF被攻击,下面小编通过本篇文章给大家介绍ajax中要带上AntiForgeryToken防止CSRF攻击,感兴趣的朋友一起学习吧
Spring Security 4.x 启用CSRF防御后logout只能是POST请求
jxchallenger的专栏
02-28 4249
学习Spring Security时碰到这个问题 官方原文: 18.5.3 Logging Out Adding CSRF will update the LogoutFilter to only use HTTP POST. This ensures that log out requires a CSRF token and that a ma
Spring Security启用csrf防护后如何对请求添加tocken
chenyl
11-23 2476
Spring Security启用csrf防护后,会对post、delete、put等请求进行安全校验。过程是,请求里必须携带crfs的tocken,如果请求里不带有tocken时,服务器会认为该请求非法,请求就会被拒绝。如何处理? 1 在页面mate进行一下申明 2 请求发送前进行tocken添加 // 获取 CSRF Token var csrfToken = $("me
详解如何在spring boot使用spring security防止CSRF攻击
08-27
Spring Boot使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
spring security CSRF防护的示例代码
08-26
如果您不想启用 CSRF 防护,可以在 Spring Security 配置中取消 CSRF,如下: @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected ...
spring security ajax请求与html共存
03-23
Spring Security 是一个强大的Java安全框架,它为Web和企业应用程序提供了全面的安全解决方案。...记住,关键在于正确配置Spring Security,使其能够识别和处理Ajax请求,同时保护你的Web应用免受未经授权的访问
springSecurity csrf ajax
一叶竹
10-30 1034
html设置 ajax : var token = $("meta[name='_csrf']").attr("content"); var header = $("meta[name='_csrf_header']").attr("content");  $.ajax({           url: "./deleteRes",
Spring Security CSRF解决POST请求验证问题
热门推荐
09-23 1万+
.post或者其他的.post 或者其他的.post或者其他的.ajax请求不能访问后台,代码都是对的,但是请求都到不了后台,经过了多方排查,花了几个小时我终于知道了原因。记录一下。 在看浏览器的html代码时发现了有一个隐藏表单 原来是我使用Spring Security Spring Security 4.0之后,引入了CSRF,默认是开启。不得不说,CSRF和RESTful技术有冲突。...
使用AJAX实现SpringSecurity登录(不禁用csrf
最新发布
qq_45004609的博客
11-28 422
其中的ResultEntity为封装的统一返回类型。
Spring Boot + Spring Security解决POST方式下的CSRF问题
Rome was not built in one day
03-20 6169
以下配置基于spring boot版本1.4.2.RELEASE,默认引入的spring security版本为4.1.3.RELEASE,页面模板采用thymeleaf。问题现象:HTTP Status 403-Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'...
Spring Security使用AJAX向后台传送数据
bnrmaster的博客
10-26 7434
Spring Security使用AJAX向后台传送数据 AJAX 跨域 org.springframework.security.web.csrf.CsrfFilter - Invalid CSRF token found for
ajax如何加csrf,Ajax请求如何设置csrf_token
weixin_35208812的博客
08-05 1670
1. 方式一通过获取隐藏的input标签中的csrfmiddlewaretoken值,放置在data中发送。$.ajax({url: "/cookie_ajax/",type: "POST",data: {"username": "yang","password": 123,// 使用jQuery取出csrfmiddlewaretoken的值,拼接到data总"csrfmiddlewaretoke...
开启 CSRF 防御
Leon_Jinhai_Sun的博客
05-22 140
@Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http. ... formLogin() .and() .csrf(); //开启 c.
Spring security ajax提交数据
征途人生&梦
04-16 637
使用spring security后,如果使用的是thymeleaf,那么form action会帮我们自动加上csrf 隐藏域,但是ajax提交就需要自己获取了,在文档中有提到。 Example 124. AJAX send CSRF Token $(function () { var token = $("meta[name='_csrf']").attr("content");...
ajax向后台传送集合,在Spring Security使用AJAX向后台传送数据
weixin_36307713的博客
08-06 274
工做中遇到的问题,这里记录下,也但愿可以帮助同窗们少走弯路html为了快速帮助快速解决问题,我决定首先呈现问题的表现,再进行分析前端环境:spring 4.2.3webspring security 4.1.3ajax表现:spring2016-10-26 22:44:02 [http-apr-9080-exec-10] DEBUG org.springframework.security.web...
Security--02(处理不同请求的类型)
最后的武艺集大成者
06-09 290
1.功能图 之前我们的请求是直接会跳到一个请求登录页面的Controller,然后跳到登录页面,现在我们的需求是判断一下请求的类型,然后跳转到自己的Controller.,然后处理返回不同的信息。 现将之前的一些在demo-lilly里面的配置沉淀到borwser包里面,但是在打包的时候报找不到Filter,z所以在依赖中加上 要实现这样的一个功能需要跳转前判断这个请求的类型,这里需要HttpSessionRequestCache这个类拿到当前缓存的请求, 接到Html请求以后是否需要身份认
Spring Security CSRF防御详解与实现
Spring Security中的CSRF防御原理涉及到了一项关键的安全措施,用于防止跨域请求伪造(Cross-Site Request Forgery, CSRF)攻击。CSRF是一种网络攻击手段,攻击者利用用户已登录的会话,伪装成用户在用户不知情的情况...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值