spring security(三)

最新推荐文章于 2023-05-14 00:15:21 发布
最新推荐文章于 2023-05-14 00:15:21 发布
阅读量112 收藏
点赞数
文章标签: java 前端 python ViewUI
原文链接:https://my.oschina.net/u/3667353/blog/1608930
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

第一部分.csrf问题会导致ajax请求失败,原因是没有验证csrf的token。具体流程是启用csrf后,所有http请求都被会CsrfFilter拦截,而CsrfFilter中有一个私有类DefaultRequiresCsrfMatcher ,在这个类里面,POST方法被排除在外了,也就是说只有GET|HEAD|TRACE|OPTIONS这4类方法会被放行,其它Method的http请求,都要验证_csrf的token是否正确,而通常post方式调用rest服务时,又没有_csrf的token,所以校验失败。具体方法是重写一个Matcher,当请求为POST请求时添加一个排除校验的url列表。

解决办法:

1、在jsp页面的head标签内添加如下代码:
<meta name="_csrf" content="${_csrf.token}"/>
<!-- default header name is X-CSRF-TOKEN -->
<meta name="_csrf_header" content="${_csrf.headerName}"/>

2、在ajax请求前添加如下代码:
var token = $("meta[name='_csrf']").attr("content");
var header = $("meta[name='_csrf_header']").attr("content");
$(document).ajaxSend(function(e, xhr, options) {
xhr.setRequestHeader(header, token);
});

等同下面:

var header = $("meta[name='_csrf_header']").attr("content"); 

 var token = $("meta[name='_csrf']").attr("content");   

  $.ajax({     

 url: '/test',      

type: 'POST',      

beforeSend: function(xhr){          

xhr.setRequestHeader(header, token);      

},      

success: function(data) {          

console.log(data);   

},  

error:function(xhr,ajaxOptions, thrownError) { console.log(xhr.status + ": " + thrownError);  

 }  });

 

<sec:csrfMetaTags/> 

等同于:

<head><meta name="_csrf" content="${_csrf.token}"/><meta name="_csrf_header" content="${_csrf.headerName}"/></head>  

1.前端无form表单,在头部增加两个meta标签

<html>
<head>
	<meta name="_csrf" th:content="${_csrf.token}" content=""/>
	<!-- default header name is X-CSRF-TOKEN -->
	<meta name="_csrf_header" th:content="${_csrf.headerName}" content=""/>
	<!-- ... -->
</head>

2.前端有form表单

  Spring Security为Thymeleaf中的表单中自动添加一个<input type="hidden" name = "_csrf" value="xxxxxxxxxx">  (xxxx为crrf.token)

var token = $("meta[name='_csrf']").attr("content");
var header = $("meta[name='_csrf_header']").attr("content");
$.ajax({  
                   type: "POST",  
                   url: "myposturl",  
                   data: entID, 
                   contentType:"application/json; charset=utf-8",
                   headers : {header:token},
                   async:false,
                   success:function(data){  
	       		//do something
                   },
                   error: function () {
                	//deal width error    
                   }
            });

这里header里面的值为"X-CSRF-TOKEN"

第二部分:验证码部分,在登陆过程中可能会加入验证码验证,此时需要做出一些改变。

第一种:自定义一个过滤器,工作在spring security的过滤器前面实现验证码的较验。

第二种:写一个filter,继承UsernamePasswordAuthenticationFilter,重写attemptAuthentication方法实现验证码的校验,若校验不成功抛出异常。

第三种:替换UsernamePasswordAuthenticationFilter这个filter来自定义校验。

 

 

 

 

转载于:https://my.oschina.net/u/3667353/blog/1608930

Rank92
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
Spring Security启用csrf防护后如何对请求添加tocken
chenyl
11-23 2447
Spring Security启用csrf防护后,会对post、delete、put等请求进行安全校验。过程是,请求里必须携带crfs的tocken,如果请求里不带有tocken时,服务器会认为该请求非法,请求就会被拒绝。如何处理? 1 在页面mate进行一下申明 2 请求发送前进行tocken添加 // 获取 CSRF Token var csrfToken = $("me
AJAX以及跨域情况下POST请求出现CSRF问题的解决方案
Blossom
03-07 4898
CSRF是什么? AJAX中处理CSRF的解决方案 系统和环境描述: JSP页面 AJAX POST请求 Spring Boot开启Security(会自动开启CSRF机制) 请求出现403问题 简单的禁用CSRF 在继承了WebSecurityConfigurerAdapter的Spring管理类的configure方法中加入http.csrf().disable()代码即可...
详解利用spring-security解决CSRF问题扫码查看CSRF介绍
dpp10683401的博客
05-30 1148
CSRF介绍 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 具体SCRF的介绍和攻击方式请参看百度百科的介绍和一位大牛的分析:CSRF百度百科浅谈CSRF攻击方式 配置步骤 1.依赖jar包 <properties> <spring.security.version>4.2.2.RELEASE</spring.s
spring securitycsrf的处理
weixin_30325487的博客
12-11 220
spring boot 与spring security进行整合的时候需要考虑csrf的问题。但是,有时候csrf会拦截所有的post请求,此时应该怎么办,,, 首先,我们在header.html中添加一下代码(此处的header.html可以理解为每个页面的头部,为了整合方便,将页面头部单独提取出来为header.html) <!-- CSRF --><met...
CSRF攻击、防止CSRF攻击原理及配置
m0_59860403的博客
04-23 1030
CSRF攻击 当用户在浏览器访问服务器,服务器给用户返回一个表单时,用户的ticket身份凭证会存放在cookie当中,如果用户在提交表单前去浏览病毒网站,病毒网站会窃取cookie信息,获得凭证,此时表单提交的目标也是已知,所以病毒网站会通过post请求模拟用户发送请求,这样用户的财产安全就会受到侵犯。 Security底层防止CSRF攻击方式 当服务器想用户返回一个表单页面的时候,会顺便发送一个隐藏域,存储着tocken,是随机生成的,每次都是不同的,当CSRF攻击时候,虽然ticket凭证信
SpringSecurity.md
07-21
SpringSecurity.md
SpringSecurity.pdf
05-24
SpringSecurity入门到进阶到高级,是我们老师给我们讲课用的,我们都照着配就没有问题,可以跑通,
Spring Security in Action
11-22
Spring Security in Action
springSecurity
最新发布
10-14
springSecurity
SpringBoot+SpringSecurity+Thymeleaf 演示CSRF攻击
怪咖@的博客
06-07 2457
1. 通过代码示例来 演示CSRF攻击!2. 通过security给我们提供的保护机制,来进行防止CSRF攻击 3. security防止CSRF的原理
使用Spring SecurityThymeleaf进行CSRF保护
allway2的博客
11-05 759
是一个Java模板引擎,用于处理和创建HTML,XML,JavaScript,CSS和纯文本。发送请求时,Spring 会将生成的令牌与存储在会话中的令牌进行比较,以确认用户没有被黑客入侵。CSRF 是一种攻击,它强制最终用户在当前经过身份验证的 Web 应用程序中执行不需要的操作。在本文中,我们将讨论如何使用Thymeleaf应用程序在Spring MVC中。由于缺少CSRF令牌,第一个测试将导致禁止状态,而第二个测试将正确执行。我们的请求被拒绝,因为我们发送的请求没有 CSRF 令牌。
从原理到实践,深入解析Spring Security中的CSRF保护机制
hunterzhang86的博客
05-14 981
随着Web应用程序的普及和发展,网络攻击成为了一个严重的问题。其中,CSRF(Cross-Site Request Forgery)攻击是一种非常常见的攻击方式。攻击者可以利用这种漏洞欺骗用户执行恶意操作,如恶意转账、修改用户信息等。为了提高应用程序的安全性,我们必须采取措施保护Web应用程序,其中之一就是CSRF保护机制。本文将介绍Spring Security中的CSRF保护机制,并提供一些示例和实践建议,以帮助开发人员实现更安全的Web应用程序。
Spring MVC,Thymeleaf,Spring Security应用程序中的CSRF保护
最佳 Java 编程
05-21 464
跨站点请求伪造(CSRF)是一种攻击,它迫使最终用户在当前已通过身份验证的Web应用程序上执行不需要的操作。 如果您使用Spring Security 3.2及更高版本,在Spring MVC / Thymeleaf应用程序中防止CSRF攻击相当容易。 怎么测试? 为了进行测试,我创建了一个区域受限的应用程序,可以在其中发送表单。 表单的源代码: <form class="for...
手记_Spring Security
CYLJ126手札
01-07 201
目录 Spring Security手记 内容 CSRF防护 重定向循环 Spring Security手记 内容 CSRF防护 CSRF,全称为Cross-Site Request Forgery,跨站请求伪造,是一种网络攻击方式,它可以在用户毫不知情的情况下,以用户的名义伪造请求发送给被攻击站点,从而在未授权的情况下进行权限保护内的操作。 具体来讲,可以这样理解CSRF。攻击...
Spring Security Taglib
01-13 2654
版本:4.0.4.RELEASE Spring Security 有对Jsp标签的支持的标签库。其中一共定义了5个标签:authorize、authentication、accesscontrollist、csrfInput和csrfMetaTags。其中authentication标签是用来代表当前Authentication对象的,我们可以利用它来展示当前Authentication对
Spring Security CSRF 保护指南
allway2的博客
11-05 729
这可以保护我们的应用程序免受 CSRF 攻击,因为攻击者无法从自己的页面获取此令牌。我们的无状态 API 不能像我们的 MVC 配置那样添加 CSRF 令牌,因为它不会生成任何 HTML 视图。现在,如果不包含CSRF令牌,POST请求将失败,这当然意味着早期的攻击不再是一种选择。现在我们了解了CSRF攻击的样子,让我们在Spring应用程序中模拟这些示例。如果我们跟踪来自此攻击者页面的请求,我们将能够发现命中原始应用程序的请求。所解释的,我们需要了解我们的无状态 API 是否需要 CSRF 保护。
spring security4.2 配置CSRF防御
Vevinlong的博客
08-03 5530
spring security4.2 配置CSRF防御 注:源文请参考官方手册 最经项目用到csrf,看了官方文档后,结合实际开发过程,记录下所遇到的问题,其中第1、2、3点都没有什么问题。而是在使用文件上传时遇到问题,查了比较久的时间,从怀疑xhr对象,到跨域访问(用到的插件动态创建了一个iframe),最终发现是当form设置了enctype="multipart/form-data"之后,
CSRF ajax 的一些设置
oqqLai123456的博客
03-21 881
spring security 4.x 之后默认开启csrf保护,因此 POST, PUT or DELETE 等基本请求都要求附带服务器端的令牌请求才会被服务器接受,因此,如果你的POST, PUT or DELETE 等请求如果没有携带服务器令牌,你将会得到一个403错误"Invalid CSRF Token 'null' was found on the request parameter '
springsecurity 加载页面慢_Spring Security:Spring Security介绍
05-18
Spring Security是一个基于Spring框架的企业应用系统安全解决方案,它提供了一组全面的安全性服务,包括身份验证、授权、攻击防护等。Spring Security的目标是为了保护企业级应用系统的安全性。 Spring Security...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值