SpringSecurity的如何拦截提交POST请求

最新推荐文章于 2023-05-12 18:04:13 发布
最新推荐文章于 2023-05-12 18:04:13 发布
阅读量1.5k 收藏 3
点赞数
文章标签: java json
原文链接:http://www.cnblogs.com/wyf-love-dch/p/7216155.html
版权

从Spring Security3.2开始,默认就会启用CSRF攻击。 
  Spring Security通过一个同步token的方式来实现CSRF防护。它会拦截状态变化的请求并检查CSRF token。如果请求不包含CSRF token,或token不能与服务器端的token相匹配,请求将会失败,并抛出CsrfException。 

Spring Security已经简化了将token放到请求的属性中这一任务:

  • 使用JSP作为页面模板的话,要做的事非常类似:
<input type="hidden" name="${_csrf.parameterName}"  value="${_csrf.token}" />

       如果使用Spring表单绑定标签的话,标签会自动为我们添加隐藏的CSRF token标签。

例如一个用from表单提交一个post的请求,想要通过验证必须添加上:

<input type="hidden" name="${_csrf.parameterName}"  value="${_csrf.token}" />

下面给一个例子:

           <form class="form-new-pwd-wrapper"  action="${pageContext.request.contextPath }/resetNew" method="POST">
                        <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
                        <div class="pwd-input-container-wrapper">
                            <span class="pwd-title-wrapper">新密码&nbsp;:</span>&nbsp;&nbsp;<input id="pwd"
                                class="password-input-wrapper" type="password" name="password"  placeholder="&nbsp;请输入新的密码">
                        </div>

                        <div class="pwd-input-container-wrapper">
                            <span class="pwd-title-wrapper">再次输入:</span> <input id="confirm-pwd"
                                class="password-input-wrapper" type="password" placeholder="&nbsp;请再次输入新的密码">
                        </div>

                        <input class="submit-request-wrapper" type="submit" value="确认修改密码" onclick="return check();">
              </form>

 如果上属例子中没有添加上第二行的代码,

<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />

则默认会被系统拦截,进入到预先设置的登录界面。

 

 

转载于:https://www.cnblogs.com/wyf-love-dch/p/7216155.html

weixin_34062329
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Boot 使用 Spring Security 后无法 POST 提交数据解决方法
Shawearn
05-03 1万+
【问题描述】 项目使用的是 spring-boot + spring-security,页面用了 thymeleaf 模板 页面代码如下: username: password: Submit 登录操作代码: /** * 登录操作; * * @param userName 用户名; * @param password 密码;
Spring security拦截Ajax post请求
qq_41762571的博客
02-25 909
Spring Security 进行安全控制 使用Ajax的时候会报 403(ajax get 方式是没问题的 post 的时候会报) Spring Security 原本是 防止 CSRF 攻击 现在 ajax 被误伤了... 如果是form表单用Ajax提交 方法一: <form class="form-horizontal"th:action="@{/user}" met...
SpringBoot项目中,拦截器获取Post方法的请求body
weixin_44560245的博客
05-30 2万+
解决HttpServletRequest的输入流只能读取一次的问题 背景 通常对安全性有要求的接口都会对请求参数做一些签名验证,而我们一般会把验签的逻辑统一放到过滤器或拦截器里,这样就不用每个接口都去重复编写验签的逻辑。 在一个项目中会有很多的接口,而不同的接口可能接收不同类型的数据,例如表单数据和json数据,表单数据还好说,调用request的getParameterMap就能全部取出来。而j...
springsecurity开启csrf拦截axios的post,put,delete请求的解决方案
GuiBing_haonan的博客
04-14 1040
首先,查找原因: 从Spring Security3.2开始,默认就会启用CSRF攻击。   Spring Security通过一个同步token的方式来实现CSRF防护。它会拦截状态变化的请求并检查CSRF token。如果请求不包含CSRF token,或token不能与服务器端的token相匹配,请求将会失败,并抛出CsrfException。 本文主要讲解的是基于springboot框架的解决方案 thymeleaf模板中,在您需要发送请求的表单加上隐藏的input: <input type=
SpringSecurity笔记,编程不良人笔记
10-28
- 用户提交登录请求请求SpringSecurity的过滤器拦截。 - 认证过滤器(如`UsernamePasswordAuthenticationFilter`)提取用户名和密码,并调用`UserDetailsService`进行验证。 - 验证成功后,创建`...
spring security中的csrf防御原理(跨域请求伪造)
08-25
在处理这些请求的服务器端,Spring Security会自动检查并验证提交的CSRF Token,如果验证失败,请求会被拒绝,从而防止CSRF攻击。 总之,Spring Security通过生成和验证CSRF Token,有效地防止了跨域请求伪造攻击,...
spring security ajax请求与html共存
03-23
这里,表单提交受到Spring Security的保护,只有完全认证的用户才能提交,而Ajax请求则可以访问`/ajaxResource`。 7. **项目结构** 提供的文件名`index.jsp`表明这是一个JSP页面,通常用于展示HTML内容。`META-...
详解利用spring-security解决CSRF问题
08-27
* POST请求攻击:攻击者可以诱使用户提交恶意表单,从而发起POST请求。 * JSON攻击:攻击者可以诱使用户点击恶意链接,从而发起JSON请求。 防止CSRF攻击 防止CSRF攻击需要采取多种措施,包括: * 使用CSRF token...
SSM-SpringMVC拦截
weixin_45203607的博客
09-17 244
SSM-SpringMVC拦截器 什么是拦截器 : 拦截器就是在控制内的方法执行的时候进行拦截 看看让不让你执行 或者进行一些初始化 资源释放等操作 有点类似于Servlet中的过滤器 但是 Servlet中的过滤器是拦截静态资源的 而SpringMVC拦截器是拦截控制器的方法的 如何还是不太明白 那么知道Spring中的AOP吗 根那个差不多 只是SpringMVC拦截器只能处理控制器里的方法(Servlet表现层) 而Spring中的AOP,主要处理(dao层和 service层) 创建拦截器 p
Spring boot + Spring Security + thymeleaf表单提交拦截问题
wtopps的专栏
08-31 2257
问题描述 thymeleaf是一种前端模板,类似与freemaker,但是其文件格式是html格式,可以配合Spring boot一起使用,在使用Spring boot + Spring Security + thymeleaf整合时,默认情况下,使用Spring Security 时form表单如果不使用th:action标签,会出现无法提交的问题 问题解决 在Spring Secur...
spring security 拦截post put delete 请求 ,解决方案
july_young的博客
09-03 5288
使用spring security 做的安全框架时,会自动拦截post,put,delete等请求,这时因为spring security 开启了防止跨域访问攻击的配置,那么怎么解决呢?请往下看: 我使用了thymeleaf在网页的head中添加: &lt;meta name="_csrf" th:content="${_csrf.token}"/&gt; ...
SpringSecurity
YiGeFive的博客
05-12 255
SecurityConfig extends WebSecurityConfigurerAdapter 重写configure方法//表单提交//自定义登录页面发现页面都可以访问,之前的验证好像失效了。@Override//表单提交//自定义登录页面//授权认证//login.html不需要被认证//所有请求都必须被认证,必须登录之后被访问可以跳转到login.html,但是没有执行到loadUserByUsername。故要改配置,让它走登录逻辑。//表单提交
springboot 使用 SprignSecurity 后无法 POST 提交数据
张先森的博客
01-18 1273
问题描述 在 Springboot 中使用 SpringSecurity 后会出现使用 POST 无法提交请求的问题,原因是因为 SpringSecurity 为了防止跨域请求伪造,于是拦截POST 请求,而使用 GET 请求则不会出现这种问题。于是百度了一下,总结出如下办法解决 POST 无法提交的问题 解决办法 1). 如果是使用表单提交,在表单中添加隐藏域即可。 &lt;...
springboot 拦截请求,统一化处理post get
笔生花的博客
05-07 2883
适用场景:为了方便后台做统一化处理,方便前后端交互,在拦截器中将post get 统一处理,在control就不需要区分该请求post 还是get请求,很方便。 @Component public class RequestParamInterceptor implements HandlerInterceptor { private static Logger log ...
Spring 整合 Spring Security 踩坑记录
weixin_46464010的博客
08-14 708
Spring 整合 Spring Security
Spring Security 初识(四)--请求拦截
热门推荐
只有变秃 才能变强
12-29 2万+
Spring Security 初识(四)–请求拦截在我们前面的文章Spring Security 初识(一)中,我们看到了一个最简单的 Spring Security 配置,会要求所有的请求都要经过认证.但是,这并不是我们想要的,我们通常想自定义应用的安全性.因为有些路径我们想要谁都可以访问.Spring Security对此的实现也很简单.关键在于重载 WebSecurityConfigure
java使用拦截拦截post请求中的内容
Strugglein的博客
08-24 1万+
转载请注明出处:https://mp.csdn.net/mdeditor/82023959 首先我们的项目是前后分离的, 然后今天有个需求就是如果在前台app请求的时候有可能会传来一些表情什么的,因为后台的数据库字段使用的是varchar接收的,会引起一些不必要的麻烦,即使把表情放到了数据库中,前台渲染也是个麻烦事, 所以经过和领导商量就直接用拦截器给把传过来的表情拦了,直接报400,然后返...
spring security提交表单报错302
最新发布
01-20
根据提供的引用内容,你遇到的问题是在使用Spring Security提交表单时出现了302错误。302错误是重定向错误,表示请求的资源已经被临时移动到了另一个位置。在Spring Security中,当用户提交表单进行身份验证时,如果验证成功,系统会将用户重定向到之前请求的页面,而不是返回200状态码。 要解决这个问题,你可以检查以下几个方面: 1. 确保表单的提交地址正确。在Spring Security中,表单的默认提交地址是`/login`,你可以在配置文件中进行自定义配置。 2. 检查表单的提交方式是否正确。默认情况下,Spring Security使用POST方法进行表单提交,你需要确保表单的提交方式与配置文件中的一致。 3. 检查登录成功后的重定向地址是否正确。在Spring Security中,默认的登录成功后的重定向地址是之前请求的页面,你可以在配置文件中进行自定义配置。 4. 检查是否存在其他的拦截器或过滤器导致了重定向。有时候,其他的拦截器或过滤器可能会干扰Spring Security的正常流程,导致出现302错误。你可以检查是否存在其他的拦截器或过滤器,并进行相应的调整。 5. 检查是否存在其他的配置问题。如果以上步骤都没有解决问题,你可以检查其他的配置项,例如用户认证的配置、权限配置等。 下面是一个示例的Spring Security配置文件,你可以参考其中的配置项进行调整: ```yaml spring: security: user: name: yyg password: 123 form: login-page: /login login-processing-url: /doLogin default-target-url: /home failure-url: /login?error=true ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值