spring security 跨域请求防护

最新推荐文章于 2024-06-04 07:33:37 发布
最新推荐文章于 2024-06-04 07:33:37 发布
阅读量546 收藏
点赞数
分类专栏: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43931625/article/details/106547829
版权

spring security 跨域请求防护

 

跨域请求攻击(csrf):一个站点欺骗用户提交请求到其他服务器

 

spring security从3.2开始默认开启csrf防护,post请求不包含csrf oken或者token与后端的值不一致,会抛出csrf异常;

如果使用thymeleaf模版,在form中的action属性中添加命名空间前缀“th_”,则会自动添加隐藏域“_csrf”

 

 

********************

示例

 

******************

service 层

 

CustomUserDetailsService

@Service
public class CustomUserDetailsService implements UserDetailsService {

    @Resource
    private PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        String username="gtlx";
        String password=passwordEncoder.encode("123456");

        List<GrantedAuthority> authorities=new ArrayList<>();
        authorities.add(new SimpleGrantedAuthority("ROLE_USER"));

        return new User(username,password,authorities);
    }
}

 

 

******************

config 层

 

WebConfig

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Override
    public void addViewControllers(ViewControllerRegistry registry) {
        registry.addViewController("/login/form").setViewName("login");
        registry.addViewController("/logout/success").setViewName("logout");
        registry.addViewController("/hello2/form").setViewName("hello2");
    }
}

 

 

WebSecurityConfig

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Resource
    private UserDetailsService userDetailsService;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin().loginPage("/login/form").loginProcessingUrl("/login")
                .and().authorizeRequests()
                .antMatchers("/hello").hasAuthority("ROLE_USER")
                .antMatchers("/**").permitAll()
                .and().logout().logoutUrl("/logout").invalidateHttpSession(true)
                .deleteCookies("JSESSIONID").logoutSuccessUrl("/logout/success");
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService)
                .passwordEncoder(initPasswordEncoder());
    }

    @Bean
    public PasswordEncoder initPasswordEncoder(){
        return new BCryptPasswordEncoder();
    }
}

 

 

******************

controller 层

 

HelloController

@RestController
public class HelloController {

    @RequestMapping("/hello")
    public String hello(Principal principal){
        return "hello "+principal.getName();
    }

    @RequestMapping("/hello2")
    public String hello2(String name){
        return "hello "+name;
    }
}

 

 

******************

前端页面

 

hello2.html

<!DOCTYPE html>
<html lang="en" xmlns="http://www.w3.org/1999/xhtml"
      xmlns:th="http://www.thymeleaf.org" xmlns:sec="https://www.thymeleaf.org/thymeleaf-extras-springsecurity4">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<form th:action="@{/hello2}" method="post" th:align="center">
    name:<input type="text" name="name"><br>
    <button>提交</button>
</form>
</body>
</html>

 

 

********************

使用测试

 

localhost:8080/hello2/form

                          

 

开启csrf防护功能后,默认添加隐藏域

                       

 

name:瓜田李下,输出:hello 瓜田李下

 

 

如果直接在postman中,name:瓜田李下,则会报错:

                      

默认开启跨域防护,postman发送的post请求不包含csrf token,因而报错

 

 

o_瓜田李下_o
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security中的csrf防御原理(跨域请求伪造)
08-25
总之,Spring Security通过生成和验证CSRF Token,有效地防止了跨域请求伪造攻击,增强了应用程序的安全性。为了充分利用这一功能,你需要确保所有可能导致状态改变的HTTP请求都包含有效的CSRF Token。同时,为了不...
SpringSecurity的配套示例源码
05-10
- SpringSecurity提供跨站请求伪造(CSRF)保护,防止非法的跨域请求。 6. **HttpSecurity配置** - `http.authorizeRequests()`:配置URL路径与访问权限。 - `formLogin()` 和 `httpBasic()`: 配置表单登录或...
【深入浅出 Spring Security(九)】解决跨域问题和 Axios 所需配置
qq_63691275的博客
06-12 1826
在解决跨域问题时,由于集成了 Spring Security,登录后需要进行认证,认证完请求服务器端要认证的资源需要携带其认证的Cookie(也就是那个SessionID,表明已经认证了)。那么在前端使用 Axios 发送跨域请求的时候,就需要配置 axios.defaults.withCredentials = true 。这是用于控制在发送跨域请求时是否携带身份凭证的(例如 Cookie、Http认证等),当然后端也需要配置。
security跨域配置
程序三两行
08-01 2062
CORS是w3c指定的一种跨域资源共享的请求资源方式,体现就是协议+ip+端口三个相同才是同源,否则就是跨域,早期javaEE解决跨域方案是JSONP,Jsonp(JSONwithPadding)是json的一种"使用模式",可以让网页从别的域名(网站)那获取资料,即跨域读取数据。但是jsonp只支持get方式,而CORS支持多种请求方式,是目前主流的跨域解决方案。...
跨域问题与Django解决方案:深入解析跨域原理、请求处理与CSRF防护
最新发布
啊猪是的读来过倒的博客
06-04 1116
跨域问题在Web开发中如影随形,而Django框架为我们提供了解决方案。本文将解析跨域原理,并介绍Django中处理跨域请求与CSRF防护的策略,助您轻松应对挑战。当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域当前页面url被请求页面url是否跨域原因否同源(协议、域名、端口号相同)跨域协议不同(http / https)跨域主域名不同(baidu / google)跨域子域名不同(www / blog)跨域端口号不同(8080 / 8888)
SpringSecurity跨域
Littewood的博客
07-24 5914
SpringSecurity跨域解决
SpringSecurity(09)——跨域配置
peng_gx的博客
01-19 622
SpringSecurity跨域配置
Spring Security怎么实现的跨域?
m0_57042151的博客
01-13 411
浏览器从一个域名的网页去请求另一个域名的资源时,域名、端口、协议任一不同,都是跨域 域名:主域名不同-->子域名不同-->域名和域名ip-->端口:协议:备注:   1、端口和协议的不同,只能通过后台来解决2、localhost和127.0.0.1虽然都指向本机,但也属于跨域
SpringCloud微服务项目:nacos+springsecurity+gateway+令牌桶限流
09-27
在本项目中,Gateway可能被用来统一入口,处理跨域问题,以及实施基于Spring Security的权限控制。 4. **令牌桶限流**: 令牌桶算法是一种流量控制策略,常用于限制系统的并发处理能力,防止过大的流量对系统造成...
详解Springboot2.3集成Spring security 框架(原生集成)
08-18
7. **启用CORS支持**:如果应用涉及到跨域请求,需要配置CORS支持。这通常可以在`WebSecurityConfigurerAdapter`的`configure(HttpSecurity http)`方法中完成。 8. **测试安全配置**:使用`spring-security-test`库...
spring security 资料收集
01-10
5. **会话管理**:Spring Security提供了会话管理策略,包括防止会话固定攻击(session fixation)、会话超时以及跨域资源共享(CORS)配置。 6. **CSRF防护**:Spring Security默认启用CSRF防护,防止非幂等操作被...
关于跨域问题和安全性的一点理解
技术玄关
08-15 2万+
最近由于项目需要,在开发一系列浏览器插件,涉及的浏览器包括Chrome,Firefox和IE。在插件的实现中,部分功能需要通过跨域的API调用完成,这会导致一些问题,而问题在IE 浏览器中尤为突出。 首先要说明的是,跨域访问是不可避免的。原因是我们开发的是插件而不是页面,API的调用都是在当前页面的环境中完成的,而我们的API服务器是自己内部的域名。这个问题在Chrome和Firefox的插件
前后端分离下spring security 跨域问题等
热门推荐
qq_35494808的博客
10-10 2万+
最近在做一个项目,前后端分离,不可避免的遇到了跨域问题。起初是配置跨域: @Configuration public class CorsConfig extends WebMvcConfigurerAdapter { private CorsConfiguration buildConfig() { CorsConfiguration corsConfigurat...
引用Spring Security 项目的跨域处理
天暗下来,你就是光
05-23 2万+
最近项目采用了前后端分离的框架,前端和后台接口没有部署到一个站点,出现了跨域问题,什么是跨域,这里就不再赘述,直接说解决办法。Spring 解决跨域的方式有很多,个人采用了Crosfilter的方式。具体代码如下: @Bean public CorsFilter corsFilter() { final UrlBasedCorsConfigurationSource ...
spring security请求跨域解决办法+前端发送post请求,body为null
Gentleaman的博客
06-29 568
前端用的是uniapp 因为我们是前后端分离的项目,在我写完登录接口,开始前后端联调的时候发现了问题, 解决起来也是十分方便。 在配置类中加上以下的配置即可 http.cors().configurationSource(corsConfigurationSource()); @Bean CorsConfigurationSource corsConfigurationSource() { CorsConfigurationSource source = new Ur
使用Spring Security中遇到的Preflight请求和跨域的问题
BENULL的博客
11-22 4119
前后端分离开发的项目中,使用SpringSecurity做安全框架,用JWT来实现权限管理提升RESTful Api的安全性。遇到的跨域问题,携带jwt请求过程中出现了服务端获取不到jwt情况。 对这种可能对服务器数据产生副作用的HTTP请求方法发送Preflight请求 后台用了Spring Security作为安全框架,并且没有对Preflight这个请求做出相应的处理,那么这个请求会导致权限管控失败。
springsecurity前后端分离登录认证_前后端分离项目,如何解决跨域问题
weixin_39634443的博客
12-06 1210
跨域资源共享(CORS)是前后端分离项目很常见的问题,本文主要介绍当SpringBoot应用整合SpringSecurity以后如何解决该问题。什么是跨域问题CORS全称Cross-Origin Resource Sharing,意为跨域资源共享。当一个资源去访问另一个不同域名或者同域名不同端口的资源时,就会发出跨域请求。如果此时另一个资源不允许其进行跨域资源访问,那么访问的那个资源就会...
Spring Security 入门(1-3-3)Spring Security - logout 退出登录
weixin_34265814的博客
06-16 258
要实现退出登录的功能我们需要在 http 元素下定义 logout 元素,这样 Spring Security 将自动为我们添加用于处理退出登录的过滤器 LogoutFilter 到 FilterChain。 当我们指定了 http 元素的 auto-config 属性为 true 时 logout 定义是会自动配置的, 此时我们默认退出登录的 URL 为 “/j_spring_security_...
spring boot security 跨域设置
06-28
Spring Boot Security 跨域设置可以通过以下步骤实现: 1. 添加依赖 在 pom.xml 文件中添加以下依赖: ``` <groupId>org.springframework.boot <artifactId>spring-boot-starter-security <groupId>org....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值