SpringSecurity OAuth2实现对CSRF拦截，以及支持iframe内嵌

最新推荐文章于 2023-06-21 15:53:37 发布

大鸡腿同学

最新推荐文章于 2023-06-21 15:53:37 发布

阅读量1.9k

点赞数

文章标签： SpringSecurity OAuth2实现对CSRF拦截

本文链接：https://blog.csdn.net/weixin_38336658/article/details/88966322

版权

        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-oauth2</artifactId>
        </dependency>

@Configuration
@EnableOAuth2Sso
public class SecurityConfig extends WebSecurityConfigurerAdapter {

	/**
	 * Configure.
	 *
	 * @param http the http
	 *
	 * @throws Exception the exception
	 */
	@Override
	protected void configure(HttpSecurity http) throws Exception {

		//禁止CRRF攻击
		http.csrf().disable();
		//允许ifarme内嵌
		http.headers().frameOptions().disable();

	}


}

启动类

@EnableOAuth2Sso
public class GatewayApplication

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

大鸡腿同学

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

你的微服务在用 OAuth2 却不知道 CSRF 和 PKCE ？

q1472750149的博客

12-04

1586

前言在微服务实战：基于Spring Cloud Gateway + AWS Cognito 的BFF案例一文中，介绍了基于Amazon Cognito的OAuth授权码模式的认证流程。本文中，我们将研究可能针对此流程的恶意攻击以及如何防止它们。你将了解如何使用状态随机数（state nonce）来防止可能的 CSRF 攻击，以及 OAuth 推荐的用于防止重定向拦截攻击的 PKCE（Proof Key for Code Exchange）机制。最后将附上基于Spring Security的代码实现。

【spring security】允许iframe嵌套：because it set 'X-Frame-Options' to 'deny'.

the_fool_的博客

03-09

1553

版本信息：错误描述：because it set 'X-Frame-Options' to 'deny'. 方案如下：重写WebSecurityConfigurerAdapter 中的configure方法，关闭frameOptions import org.springframework.context.annotation.Configuration; import or...

参与评论您还未登录，请先登录后发表或查看评论

针对OAuth2的CSRF攻击

weixin_33763244的博客

10-25

494

http://www.jianshu.com/p/c7c8f51713b6 转载于:https://www.cnblogs.com/lcyuhe/p/7728352.html

使用内嵌IFrame，处理系统跨域身份认证的方案与实现

萧逸闲侃

03-15

9377

需求：系统A与系统B分别部署在不同域的两台服务器中，但它们的身份都统一在身份认证服务器中；身份认证信息以Session方式存贮于各自系统中，并辅以cookie进行使用。当用户在A系统登录后，访问B系统时，由于是跨域访问，导致身份信息不能正确的传递到B系统中，从而致使用户需在B系统中重新登录。解决方案：处理这类跨域访问时，我们最先使用从B系统向C通过HttpR

oauth X-Frame-Options 跳转授权页面时，302重定向禁用iframe

weixin_30443895的博客

08-04

1749

因为oauth/authorize响应头包含X-Frame-Options: DENY解决方案：openresty nginx 移除该属性,经测试生效 more_clear_headers X-Frame-Options; ====打印日志，发现没有了该属性； set $resp_header ""; header_filter_by_lua ' loca...

springBoot springSecurty OAuth2.0 x-frame-options deny

aiyo92的专栏

02-25

896

背景说明应公司要求，需要对一个接口平台加OAuth2.0认证（客户端模式）功能，该平台有自己的管理维护页面，且页面采用了Iframe嵌套，在我加入认证功能以前，平台可以正常运行，但就在我加入认证功能之后（通过postman已经可以正常获取access_token），打开维护界面出现了问题:iframe中的页面打不开了，错误如图：问题原因我的OAuth2.0是基于SpringSecu...

Spring Security OAuth2 实现登录互踢的示例代码

08-19

Spring Security OAuth2 实现登录互踢的示例代码 Spring Security OAuth2 是一个基于 OAuth2 协议的身份验证框架，提供了丰富的身份验证机制和授权机制。本文主要介绍了 Spring Security OAuth2 实现登录互踢的示例...

Spring Security OAuth2集成短信验证码登录以及第三方登录

08-27

Spring Security OAuth2是基于Spring Cloud/Spring Boot环境下使用OAuth2.0的解决方案，为开发者提供了全套的组件来支持OAuth2.0认证。然而，在开发过程中，我们会发现由于Spring Security OAuth2的组件特别全面，...

Spring Security Oauth2.0 实现短信验证码登录示例

08-28

Spring Security Oauth2.0 实现短信验证码登录示例本篇文章主要介绍了 Spring Security Oauth2.0 实现短信验证码登录示例，具有一定的参考价值。下面是该示例的详细知识点解释：一、Spring Security Oauth2.0 ...

springsecurity+oauth2+jwt实现单点登录demo

06-06

该资源是springsecurity+oauth2+jwt实现的单点登录demo，模式为授权码模式，实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中（附带数据库表结构），token存储分为数据库或者Redis。demo...

使用Spring Security OAuth2实现单点登录

08-25

使用Spring Security OAuth2实现单点登录概述：在本教程中，我们将讨论如何使用Spring Security OAuth和Spring Boot实现单点登录（SSO）。单点登录是一种身份验证机制，允许用户使用一个身份验证凭证访问多个相关...

Spring Security6使用iframe失败，localhost 拒绝了我们的连接请求

最新发布

Aimer51129的博客

06-21

1154

经排查发现controller可以正常访问，权限和路径已放权，说明问题出在iframe调用上，嵌套页面无法显示可能是由于Spring Security将浏览器的安全策略做了限制。③allow-from：origin为允许frame加载的页面地址。②sameorign：frame页面的地址只能为同源域名下的页面。修改SecurityConfiguration.java。①deny：浏览器拒绝当前页面加载任何Frame页面。我用的是6版本，所以5的写法标红了。

SpringSecurity限制iframe引用页面的问题

qq_40992812的博客

02-12

228

用Spring Security的过程中，需要使用iframe来引入其他域的页面，页面会报X-Frame-Options的错误，试了好几种方法一直未能很好的解决这个问题。这里涉及到Spring Security的一个配置，Spring Security下，X-Frame-Options默认为DENY,非Spring Security环境下，X-Frame-Options的默认大多也是DENY，这...

页面嵌入第三方系统方案小结

紫眸的博客

02-27

7976

1.背景介绍本文主要介绍页面嵌入到第三方系统的两个方案。分为三个步骤，页面嵌入、请求跨域、访问认证。 2.页面嵌入方案页面嵌入方案有“iframe标签嵌入”和“SDK代码嵌入”。两种方案的灵活性和性能各不相同，下面介绍一下两者的差异。 2.1.iframe标签嵌入 iframe嵌入是目前使用很广泛的一种嵌入方案，直接使用iframe标签+网页地址就可以嵌入。优点是“主页面和嵌入页面相互隔离，不存在脚本冲突，样式影响问题”。缺点...

解决SpringSecurity限制iframe引用页面的问题

xuan2717的博客

07-20

274

解决SpringSecurity限制iframe引用页面的问题

springSecurity跨域CORS处理

知识追寻者(Inheriting the spirit of open source, Spreading technology knowledge;)

04-15

397

续言之前知识追寻者写过关于springboot 的跨域处理，并且介绍了跨域相关的概念；具体的可以查看这篇知识追寻者springboot教程系列文章 https://zszxz.com/category/springboot/article/16 关于跨域处理其实挺奇怪,spring, springboot, springSecurity 他们的跨域处理方式都不同！ spring的跨域处理关于spring的跨域处理可以直接在类或者方法上使用 @CrossOrigin 达到目的；但这只能进行局部处理，如果

Oauth2做web端SSO的一些临时想法

莫语？倾城

11-09

751

oauth2跨域sso时的一些想法

Spring Security实现Oauth2授权详解

在设置Spring Security Oauth2时，我们需要添加相应的Maven依赖，如`spring-boot-starter-web`用于Web支持，`jackson-datatype-joda`用于JSON序列化，以及`thymeleaf-extras-springsecurity4`为Thymeleaf模板引擎...