spring security认证机制的Invalid CSRF Token问题

最新推荐文章于 2023-08-04 09:33:32 发布
最新推荐文章于 2023-08-04 09:33:32 发布
阅读量1.4k 收藏
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/pp2018/p/8507926.html
版权

 spring security在集成spring boot的微服务框架后,进行了cas认证和权限控制。但是在请求过程中,发现了一个问题

1.关于错误

错误指出,请求中出现了不可用的CSRF令牌。

查阅资料后发现这是一个RESTful技术与CSRF(Cross-site request forgery跨站请求伪造)的冲突造成的,CSRF默认支持的方法: GET|HEAD|TRACE|OPTIONS,不支持POST。

传统的session id容易被第三方窃取攻击,spring security4.0版本之后,引入了CSRF的概念。

spring security为了正确的区别合法的post请求,采用了token的机制。过程大致为get请求会从服务器端拿到一个token,这个token被拿来当做header参数通过post请求传递至服务器。

服务器通过区分这个token值是否合法来判定是否是正常的post请求(而非第三方攻击)。

2.解决

spring Security 3默认关闭csrf,Spring Security 4默认启动了csrf。

开发环境手动关闭csrf

@Override

protected void configure(HttpSecurity http) throws Exception {

     //访问控制内容。。。。。

 

     http .csrf().disable();

}

 

转载于:https://www.cnblogs.com/pp2018/p/8507926.html

weixin_30322405
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring上传时报Invalid CSRF Token错误解决方案
目尽地平线
04-16 6882
使用spring security之后,默认上传文件会报这个错,解决方案有下面两个:一、 将 MultipartFilter 放在 springSecurityFilterChain 前面;二、在form的action属性里加上 CSRF token
spring-security中的csrf防御机制
behurry的专栏
07-27 3万+
什么是csrf
HTTP Status 403 - Invalid CSRF Token ‘null‘ was found on the request parameter ‘_csrf‘ or header解决方法
。。。。
08-02 2249
HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf' o...
spring security CSRF 问题 Invalid CSRF Token 'null' was found on ......
哎幽的成长
02-13 3万+
1. 问题前面几篇博客 spring security在集成spring boot的微服务框架后,实现了cas认证和权限控制。但是在使用 postman 进行调用的时候出现这个问题HTTP Status 403-Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.然
Coldfusion [Invalid token > found]
445822357
11-15 140
出现这种编译报错情况有至少两种:第一种是页面的>有问题;第二种是页面的编辑方式不是utf-8。 我遇到的就是页面的编码方式与项目的编码(utf-8)不一致.导致coldfusion在编译的时候报错...
SpringSecurity解决POST方式下CSRF问题
weixin_45131680的博客
06-26 332
跨站请求伪造)的发生,限制了除了get以外的大多数方法。表单提交的时候,作为隐藏参数提交。
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
总结起来,Spring Boot结合Spring Security与JWT令牌提供了一种强大且灵活的认证和授权机制。这种机制使得API的安全性得到提升,同时也降低了服务器端的存储压力。通过以上步骤,开发者可以构建出一个能够处理JWT...
如何基于spring security实现在线用户统计
08-19
Spring Security 在线用户统计实现详解 在本文中,我们将详细介绍如何基于 Spring Security 实现在线用户统计。在线用户统计是指在系统中实时统计当前活跃用户的数量,以便更好地监控和管理系统的使用情况。 ...
Spring security实现登陆和权限角色控制
09-09
Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理,包括认证和授权。在这个场景中,我们将探讨如何使用Spring Security来实现登录和权限角色控制。首先,确保你正在使用的Spring版本为4.3.2....
Spring Security验证流程剖析及自定义验证方法
08-27
Spring Security 是一个强大的安全框架,它为基于Spring的应用提供了声明式的安全访问控制。该框架的核心是通过一系列过滤器(Filter)实现对用户请求的拦截和处理,这些过滤器构成了FilterChainProxy,根据不同的...
Spring security BCryptPasswordEncoder密码验证原理详解
08-24
Spring Security BCryptPasswordEncoder 密码验证原理详解 Spring Security 中的 BCryptPasswordEncoder 是一种用于密码验证的密码加密器,它可以对密码进行加密和验证。本文将详细介绍 BCryptPasswordEncoder 的...
Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'
风雨诗轩的博客
04-27 8665
     Spring Security 4.0之后,引入了CSRF,默认是开启。不得不说,CSRF和RESTful技术有冲突。CSRF默认支持的方法: GET|HEAD|TRACE|OPTIONS,不支持POST。       解决方法有两种:       第一种是在spring security的配置类中将csrf功能禁用,如下@Override protected void configur...
SpringSecurityCSRF
ybb_ymm的专栏
04-15 1160
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已 登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。
遇到:SyntaxError: invalid token 错误应该如何解决
最新发布
牛肉胡辣汤
08-04 5801
遇到 "SyntaxError: invalid token" 错误通常表示你的代码中存在语法错误,导致无法正确解析和执行代码。
利用spring-security解决CSRF问题
热门推荐
Frankenstein的博客
04-22 4万+
从配置到原理,一步步讲解如何利用Springsecurity框架来处理scrf问题
Invalid CSRF Token 'null' was found
大猴子
08-04 2790
在整合spring boot 和spring security的时候,用AJAX提交数据浏览器返回以下提示:responseText: ""timestamp":1501832200997,"status":403,"error":"Forbidden","message":"Invalid CSRF Token 'null' was found on the request parameter '
Java实战开发》利用spring-security解决CSRF问题,通过重写CsrfFilter 过滤掉指定方法
crazy王的学习
12-27 8316
最近项目渗透测试检测出一些安全问题其中一项为csrf攻击隐患,然后开始修复 csrf简介 CSRFCross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则...
SpringSecurity文件上传 CSRF错误:Invalid CSRF Token 'null' was found on the request parameter '_csrf' or ..
liu911025的博客
06-22 3106
Spring Security CSRF,默认是开启。CSRF默认支持的方法: GET|HEAD|TRACE|OPTIONS,不支持POST。比较关键的一点是如果这个http请求是get方式发起的请求,意味着它只是访问服务器 的资源,仅仅只是查询,没有更新服务器的资源,所以对于这类请求,spring security的防御策略是允许的,如果这个请求是通过post请求发起的, 那么spring se...
SpringBoot Security的自定义异常
香酥蟹的博客
06-18 7352
access_denied 方面异常 原异常 { "error": "access_denied", "error_description": "不允许访问" } 现异常 { "success": false, "error": "access_denied", "status": 403, "message": "不允许访问", "path": "/user/get1", "timestamp": 1592378892768 } 实现 p
springsecurity5.7怎样配置token验证
05-17
Spring Security 5.7 可以通过配置使用 JWT (JSON Web Token)进行 token 验证。 首先,需要添加以下依赖: ```xml <groupId>org.springframework.boot <artifactId>spring-boot-starter-security ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值