spring security login csrf 失效问题

最新推荐文章于 2023-08-17 09:02:36 发布
最新推荐文章于 2023-08-17 09:02:36 发布
阅读量357 收藏
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/savagego/p/6701836.html
版权

如果要使用csrf,login 页面不能定义为

 <http security="none" pattern="/user/login.*" />

因为所有过滤器都不起作用了,包括 csrf 过滤器

要定义为:access="permitAll" 

    <http>
    <intercept-url pattern="/user/**" access="permitAll" />
    <form-login login-page="/user/login.jsp" 
        login-processing-url="/spring/login.do" 
        username-parameter="username" password-parameter="password" />
        <intercept-url pattern="/**" access="hasRole('USER')" />
        <logout />
        <csrf/>
    </http>

 

转载于:https://www.cnblogs.com/savagego/p/6701836.html

weixin_30449239
关注
Spring Security 6.x 系列【21】漏洞防护篇之跨站请求伪造
记录知识、锤炼自我
07-12 8004
除了认证授权外功能外,还提供了安全防护功能,比如跨站点请求伪造 (CSRF跨站请求伪造,通常缩写为CSRF或者XSRF。简单来说就是攻击者通过一些技术手段,欺骗用户的浏览器去访问一个自己曾经认证过的网站,并运行一些操作,比如发消息、转账、购买商品等。
csrf-login-token:来自登录令牌中间件的CSRF令牌
04-15
使用登录令牌的csurf Node.js 保护中间件。 要求先对进行初始化。 该模块基于并使用几乎相同的API,但是它使用现有的登录令牌而不是创建新的令牌和cookie。 这样做的安全影响进行了讨论。 安装 $ npm install csurf-login-token --save 原料药 const csurf = require ( 'csurf-login-token' ) ; csurf(cookieName [,options]) cookieName 存储登录令牌的cookie的名称。 有关如何安全生成此内容的许多在线教程,请这样做。 选项 csurf函数采用一个可选的options对象,该对象可能包含以下任何键: ignoreMethods 禁用CSRF令牌检查的方法的数组。 默认为['GET', 'HEAD', 'OPTIONS'] 。 价值 提供中间件将调用的
Spring Security_02_登录认证并授权_03_CSRF跨站请求拒绝处理
毅君帅
08-17 77
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。出现CSRF跨站请求禁止。
springsecurity配置登录接口匿名访问无效,出现403Forbidden
weixin_42260782的博客
01-13 6807
在复习springsecurity的时候,出现一个奇怪的现象,登录接口已经设置为匿名访问了,但是通过postman测试的时候,出现了403禁止访问的情况 security配置类已经关闭了csrf,并且/user/login已经设置为匿名访问: 后来发现,原来是我入参写错了,传进来的User对象,实体类里面的用户名称是userName,而不是username, 改为userName,正常登录 但是数据库里面的用户名字段是user_name,这个不匹配,难道不会出现Unknown column 的错误吗
SpringSecurity关于关闭csrf后导致页面元素消失的问题及处理方法
Chang的博客
04-25 2347
SpringSecurity自定义登录页面编写中,关闭csrf防护后csrfToken标签位置导致页面元素消失
Web安全-CSRF
lanyef的专栏
10-21 225
0x01 简介 CSRF(Cross-site Request Forgery),跨站请求伪造。OWASP Top 10 2013、2017都收录了这个漏洞。 原理简单来说就是: 用户登录了某银行站点,浏览信息。 然后被某某广告吸引,点开了另一个站点(恶意站点)。 用户在不知情的情况,点击恶意站点某按钮、链接,如下。 该链接实施转账操作,由于用户登录银行站点的会话有效,在不知...
十七、Spring SecurityCSRF
booker009的博客
03-17 196
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack” 或者Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。跨域:只要网络协议,ip地址,端口中任何一个不相同就是跨域请求。客户端与服务进行交互时,由于http协议本身是无状态协议,所以引入了cookie进行记录客户端身份。在cookie中会存放session id用来识别客户端身份的。
Java Spring Security 安全框架:(十七)Spring SecurityCSRF
地球村
10-12 469
Spring SecurityCSRF1.什么是 CSRF2.Spring SecurityCSRF2.1 实现步骤2.1.1 编写控制器方法2.1.2 新建 login.html2.1.3 修改配置类 从刚开始说明 Spring Security 时,在配置类中一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭 csrf 防护 1.什么是 CSRF CSRF(Cross-site request forgery)跨
Spring security实现记住我下次自动登录功能过程详解
08-24
Spring Security 实现记住我下次自动登录功能过程详解 Spring Security 是一个功能强大且广泛使用的 Java 认证和授权框架,提供了许多功能强大的功能,例如认证、授权、RememberMe 等。在本文中,我们将详细介绍...
SpringSecurity 登录页面无法获取CSRF令牌的解决方法
oqqLai123456的博客
03-21 2764
捡重要的说 配置说明:项目是基于maven+springMVC+springSecurity的,maven、web.xml和springmvc具体配置可以百度,具体说下springsecurity.xml的配置,<http pattern="/init" security="none"/> <http pattern="/login" security="none"/><http auto-con
springsecurity登陆失败_Spring Security
weixin_39753857的博客
11-26 2148
4自定义登录失败处理器(续上一篇文章)4.1源码分析failureForwardUrl()内部调用的是failureHandler()方法ForwardAuthenticationFailureHandler中也是一个请求转发,并在request作用域中设置SPRING_SECURITY_LAST_EXCEPTION的key,内容为异常对象。4.2代码实现4.2.1新建控制器新建com.bjsxt...
spring security loginProcessingUrl无效问题
wzq1915414095的博客
11-24 9133
近几天被一个朋友问道了一个loginProcessingUrl设置后无效的问题。 他的登陆页面的接口是 /loginpage 这个前端页面的登陆按钮请求的url是 /login/doLogin 前端页面代码如下 <form action="/login/doLogin" method="post"> <input type="text" name="username" /> <input type="password" name="password"/>
Spring Security 自定义登录页并开启CSRF防御,http.csrf()源码分析
weixin_45114101的博客
12-26 2494
Spring Security 自定义登录页并开启CSRF防御,http.csrf()源码分析
Deemon & CSRF漏洞自动挖掘工具分析
systemino的博客
05-14 805
前言 在前端的攻击中,一般活跃在大家视线里的可能都是xss居多,对于csrf这一块正好我也抱着学习的心态,了解到安全顶会有一篇自动化挖掘CSRF漏洞的paper,于是看了看,以下是相关知识分享。 背景 CSRF可以分为两种,一种是authenticated CSRF,一种是login CSRFlogin CSRF 对于login CSRF,这里我们以曾经的价值8000美金的Uber漏洞为例: 在网站中,登录流程机制大致如下: 如果我们将somewhere改为google.com,那么流
[译文] Spring Securitysecurity none, filters none, access permitAll
JodenHe的博客
03-29 1499
博主个人博客 https://blog.joden123.top 版权说明,文章翻译至 Spring Securitysecurity none, filters none, access permitAll 概述 Spring Security 提供了几种将请求模式配置为不安全或者允许所有访问的机制。根据这些机制的不同,这可能意味着根本不在这个路径上运行安全过滤器链,或者运行了安全过滤...
【基本功】 前端安全系列之二:如何防止CSRF攻击?
美团技术团队
10-11 3668
总第290篇2018年 第82篇当当当当,我是美团技术团队的程序员鼓励师美美~“基本功”专栏又来新文章了,本篇是我们前端安全系列文章的第二篇,主要聊聊前端开发过程中遇到的...
CSRF认证的几种方法
UncleGen的博客
07-17 3252
前言 在使用Django框架编写网页,使用AJAX技术进行前后端数据交互的时候会遇到csrf(Cross-site request forgery跨站请求伪造)问题,get请求不影响,post就需要csrf认证。 环境 Django 2.0.6 方法 在登陆表单中添加CSRF方法: &lt;form action="{% url 'login_check' %}" met...
应用安全系列之十九:CSRF
jimmyleeee的专栏
03-17 284
本系列文章主旨在于介绍一些漏洞类型产生的基本原理,探索最基础的解决问题的措施。 Cross-site Request Forgery(CSRF)中文名是跨站请求伪造,是一种通过恶意站点利用浏览器的信任机制自动发起意料之外的请求。CSRF攻击主要是利用了浏览器会自动将某个站点的cookie发送到被请求的网站,如果一个用户已经登录站点www.test.com,此时,又访问另外一个网站,而这个网站中含有发送恶意请求的脚本或者标签,例如:<img src="http://www.test.com?dosom
Jmeter 对于登录带有csrf防跨域的登录方法总结
qq_34258189的博客
07-05 3991
1,首先通过浏览器检查,查看接口登录需要的数据_csrf-portal:xxxxxLogin[org_code]:XXXXX Login[username]:XXXXX-----用户名Login[password]:XXXXX-----密码Login[remember]:0------不记住用户Login[remember]:1------记住用户2,了解一下csrf防跨域的登录方法这个图是...
Spring SecurityCSRF问题如何解决
最新发布
09-12
Spring Security提供了内置的CSRF保护来防止跨站请求伪造攻击。...综上所述,通过在表单中添加CSRF令牌和配置Spring Security,我们可以有效地解决Spring SecurityCSRF问题,并提供对应用程序的保护[2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值