html form without csrf protection,尽管在表单中发送CSRF令牌,但不支持Spring Security CSRF 405方法POST...

最新推荐文章于 2023-03-09 15:44:40 发布
最新推荐文章于 2023-03-09 15:44:40 发布
阅读量721 收藏
点赞数
文章标签: html form without csrf protection

我使用的是Spring框架版本4.3.5.RELEASE . Spring安全版是4.2.2.RELEASE .

我正面临一个与CSRF有关的奇怪问题 . 每当我提交一个表单(来自JSP文件), Sometimes it works fine, the form gets submitted without error but sometimes after submitting the form 时,它会显示 Http Status 405 ? Method not supported . 我也包含了csrf令牌,它们都隐藏在字段中,并将其作为查询字符串附加在表单's action' s标记中 .

这是我的项目中的示例POST表单:

action="http://localhost:8080/update/edit.html?${_csrf.parameterName}=${_csrf.token}">

这是我提交上述表格的控制器:

@RequestMapping(value = "/update/edit.html", method = RequestMethod.POST)

public String saveEdit(ModelMap map, @Valid @ModelAttribute(MODEL_KEY) DealerVisitVO dealerVisitVO, BindingResult result,

@RequestParam(required = false, name="followup") Boolean followup) {

//my codes here

}

The problem is coming random. 它有时有效,有时也无效 . 代码或表单没有变化 . 禁用CSRF不是一种可能的解决方案,因为这是我的客户的一项要求 .

如果有人能够解决,请帮助 .

千1100
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
最近WEB安全扫描问题汇总
ivan0609的专栏
06-15 1万+
严重问题: 1、Tomcat版本过低 Tomcat5~8各个版本尽量使用最新的版本,新版已经修复了已经发现的漏洞。 2、SQL盲注 对于用户输入的参数进行过滤。 3、jQuery跨站脚本 升级jQuery,更换为最新版的jQuery
HTML form CSRF保护,694816 – HTML form without CSRF protection
weixin_32048757的博客
06-29 653
Neeraj Kumar2013-11-27 09:33:26 UTCCross-site request forgery, also known as a one-click attack or session riding and abbreviated as CSRF or XSRF, is a type of malicious exploit of a website whereby u...
CSRF漏洞详细说明
02-26
Cross-SiteRequestForgery(CSRF),文一般译作跨站请求伪造。经常入选owasp漏洞列表Top10,在当前web漏洞排行,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证HTTP请求的Referer,还有验证XMLHttpRequests里的自定义header。鉴于种种原因,这三种方法都不是那么完美,各有利弊。在跨站请求伪造(CSRF)攻击里面,攻击者通过用户的浏览器来注入额外的网络请求,来破坏一个网站会话的完整性。而浏览器的安全策略是允许当前页面
HTML form without CSRF protection,HTML表单没有CSRF保护
fujianmin19910915的博客
05-26 4419
HTML form without CSRF protection =HTML表单没有CSRF保护 CSRF是伪造客户端请求的一种攻击,CSRF的英文全称是Cross Site Request Forgery,字面上的意思是跨站点伪造请求。这种攻击方式是国外的安全人员于2000年提出,国内直到06年初才被关注,早期我们使用过CSRF攻击实现了DVBBS后台的SQL注射,同时网上也出现过动易后台管理员添加的CSRF漏洞等,08年CSRF攻击方式开始在BLOG、SNS等大型社区类网站的脚本蠕虫使用。 CS..
HTML表单没有CSRF保护漏洞
煜铭2011
06-20 1万+
0x00 背景 CSRF(Cross-site request forgery),文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 恶意攻击者可以利用漏洞攻击做到:攻击者盗用了你的身份,以你的名义发送恶意请求。 CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账……造成的问题包括:个人隐私泄露以及财产安全。 0x01 修复思路 CSRF的防御可以从服务端和客户端两方面着手,防御
详解如何在spring boot使用spring security防止CSRF攻击
08-27
主要介绍了详解如何在spring boot使用spring security防止CSRF攻击,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring-security-jwt-csrf:使用Spring SecuritySpring Boot和Vue js进行无状态JWT身份验证的演示
01-31
基于令牌Spring Security, 和CSRF) 客户端构建工具 ,Webpack,npm 服务器构建工具 Gradle Безопасность( Security ) JWT令牌 ДлягенерацииипроверкиJWT以及 。 JJWT -...
spring securitycsrf防御原理(跨域请求伪造)
08-25
主要介绍了spring securitycsrf防御机制原理解析(跨域请求伪造),本文通过实例代码详解的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
CSRF是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发广泛存在。这篇文章主要介绍了SpringSecurity框架下实现CSRF跨站攻击防御,需要的朋友可以参考下
在django使用post方法时,需要增加csrftoken的例子
12-20
从百度查到在django,使用post方法时,需要先生成随机码,以防止CSRF(Cross-site request forgery)跨站请求伪造,并稍加修改: 注:这是一个js文件,需要引入到html模板:[removed][removed] 这样做比使用{% ...
漏洞扫描常见修复方案
CVJASBPTR的博客
12-15 2128
1、Apache JServ protocol service 描述: 问题出在Tomcat的8009端口,错误的提示是8009端口上运行着tcp协议。 修复方案: 解决办法: 只能是通过关闭8009端口来实现 Apache JServ protocol = AJP 解决方案:修改tomcat 的service.xml配置文件 将 <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" /> 这一行注释掉 2、Slow
【记录】没有CSRF保护的HTML表单 漏洞解决办法
热门推荐
Damionew的博客
02-28 1万+
解决方法:Cookies Hashing:每一个表单请求都加入随机的Cookie,由于网站存在XSS漏洞而被偷窃的危险。 在Jsp文件头引入 &lt;%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%&gt; 在登录的jsp添加 &lt;% //增加随机数,解决 ...
html表单缺乏csrf防护,表单验证因缺少CSRF而失败
weixin_30394975的博客
06-19 1327
我重置了本地flask环境,但是没有通过捕获它的依赖项,pip freeze然后再将其删除。因此,我不得不重新安装整个堆栈的最新版本。现在,我突然无法使用表单进行验证了。Flask声称CSRF将丢失。def register():form = RegisterForm()if form.validate_on_submit():...return make_response("register.h...
安全漏洞修复帖
weixin_45067120的博客
03-09 1603
整理系统遇到的安全漏洞
php如何防止CSRF攻击
rockyman1991的博客
08-02 1377
3.1 Cookies Hashing 第一个方案可能是解决这个问题的最简单和快捷的方案了,因为攻击者不能够获得被攻击者的Cookies内容,也就不能够构造相应的表单。 这个问题的实现方法与下面的类似。在某些登录页面我们根据当前的会话创建Cookies:                    // Cookie value       $value = "Something
html表单csrf攻击的解决方案
sunchanglan151的博客
06-29 1193
xsrf form html,asp.net mvc - HTML form without CSRF protection alert (Acunetix) - Stack Overflow
weixin_32175665的博客
06-10 211
I use in my form @Html.AntiForgeryToken() and in action I use [ValidateAntiForgeryToken] attribute but when test my site by Acunetix get this error :HTML form without CSRF protectionhtml :جستجوی خود...
springsecurityCSRF怎么使用
最新发布
05-13
可以使用以下代码片段来从页面的隐藏字段提取CSRF令牌,并在表单提交时将其发送回服务器: ```javascript $(function () { var csrfToken = $("meta[name='_csrf']").attr("content"); var csrfHeader = $(...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值