springsecurity开启csrf拦截axios的post,put,delete请求的解决方案

最新推荐文章于 2025-01-14 16:42:13 发布
最新推荐文章于 2025-01-14 16:42:13 发布
阅读量1.2k 收藏 3
点赞数
文章标签: java csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/GuiBing_haonan/article/details/115709715
版权

首先,查找原因:

从Spring Security3.2开始,默认就会启用CSRF攻击。
  Spring Security通过一个同步token的方式来实现CSRF防护。它会拦截状态变化的请求并检查CSRF token。如果请求不包含CSRF token,或token不能与服务器端的token相匹配,请求将会失败,并抛出CsrfException。

本文主要讲解的是基于springboot框架的解决方案

thymeleaf模板中,在您需要发送请求的表单加上隐藏的input:

<input type="hidden" id="csrf"  th:value="${_csrf.token}" />

同时发送的请求带上_csrf参数
post请求样例

axios.post("/xxx?_csrf="+csrf,value)  // value为您所要发送的值

同理其他请求应都加上:

axios.delete("/xxx/"+value+"?_csrf="+csrf)
axios.put("/xxx?_csrf="+csrf,value)

很多东西是从这里看到的,并加以理解应用
点我跳转
希望能和您共同进步,有疑问我会及时回复

springmvc拦截器对请求参数解密_springboot springmvc拦截拦截POSTPUTDELETE请求参数和响应数据,并记录操作日志...
weixin_39852953的博客
12-22 414
packagecom.vian.admin.config;importcom.alibaba.fastjson.JSON;importcom.vian.admin.entity.OperationLog;importcom.vian.admin.event.OperationLogEvent;importcom.vian.core.configuration.event.EventPublishe...
springsecurity登录接口跨域问题解决
temperlili的博客
02-23 1834
最近在做一个前后端分离的项目,前端用的axios后端呢,用的是springsecurity做验证。 在所有接口(包括springsecurity提供的登录接口!!!)使用postman测试没问题的时候,于是就开始把接口搬到前端,使用axios请求,这时候问题就来了…所有接口都正常,就是登录接口一直跨域!!! 于是就开始百度,结果花了一个多小时,网上内容基本都一样,都是配置类似下面这个: @Override public void addCorsMappings(CorsRegistry regist
spring security 拦截post put delete 请求解决方案
july_young的博客
09-03 5512
使用spring security 做的安全框架时,会自动拦截postputdelete请求,这时因为spring security 开启了防止跨域访问攻击的配置,那么怎么解决呢?请往下看: 我使用了thymeleaf在网页的head中添加: &lt;meta name="_csrf" th:content="${_csrf.token}"/&gt; ...
SpringSecurity的如何拦截提交POST请求
weixin_34062329的博客
07-21 1628
从Spring Security3.2开始,默认就会启用CSRF攻击。  Spring Security通过一个同步token的方式来实现CSRF防护。它会拦截状态变化的请求并检查CSRF token。如果请求不包含CSRF token,或token不能与服务器端的token相匹配,请求将会失败,并抛出CsrfException。 Spring Security已经简化了将token放到请求...
put请求delete请求拦截问题
qq_53840970的博客
08-13 2461
PUT 请求用于向服务器发送数据,以更新服务器上指定资源的内容。DELETE 请求用于请求服务器删除指定的资源。
IIS10默认拒绝PUTDELETE请求
zgahxxwht的专栏
11-06 2546
其原因在于默认情况下,IIS会安装一个WebDav模块,而此模块阻止了HTTP PUTDELETE请求。 StatusCode: 405, ReasonPhrase: 'Method Not Allowed', 方法一: IIS拒绝PUTDELETE请求是由默认注册的一个名为WebDAVModule的自定义HttpModule导致的。WebDAV的全称为Web-based Distrib...
post请求拦截
最新发布
04-26
当客户端发送 POSTPUTDELETE 请求时,如果没有携带有效的 CSRF Token,或者该 Token 不匹配服务器端存储的值,则请求会被拒绝。 2. **请求体不可重复读取** 在某些情况下,比如使用 `HttpServletRequest` ...
前后端分离 权限系统[SpringBoot2+SpringSecurity+Vue+ElementPlus]
2302_80480374的博客
01-14 1282
SpringSecurity有很多很多的拦截器在执行流程里面主要有两个核心的拦截器1.登录验证拦截器AuthenticationProcessingFilter2.资源管理拦截器AbstractSecurityInterceptor但拦截器里面的实现需要一些组件来实现所以就有了AuthenticationManager认证管理器、accessDecisionManager决策管理器等组件来支撑。
基于SpringSecurity 的登录详解(前后端分离)
qq_45784240的博客
08-06 4911
前后端分离登录:JWT单点登录
SpringSecurity+前端项目+redis完成认证授权的代码
m0_74194490的博客
08-12 531
(包含了对密码加密、用户认证授权、登录前后的权限设置==》开启允许跨域。①创建令牌---②校验令牌---③根据token获取自定义的信息。由于都是无返回值类型的,所有使用到了fastjson)
boke练习: springboot整合springSecurity出现的问题,post,delete,put无法使用
weixin_33798152的博客
10-12 308
springboot 与 SpringSecurity整合后,为了防御csrf攻击,只有GET|OPTIONS|HEAD|TRACE|CONNECTION可以通过。 其他方法请求时,需要有token 解决方法: 1,支持post的方法:       1,如果使用freemarker模板       在form里添加&lt;input type="hidden" name="${_csrf.para...
发布到IIS后,后端拒绝putdelete请求
qq_27860623的博客
12-23 1645
系统在本地没有问题,发布到服务器上后,putdelete请求不行。解决方法:删除IIS模块里面的WebDAVModule。原因:IIS8默认会拒绝deleteput请求
Java SpringBoot项目限制PUTDELETE、TRACE、OPTIONS、PATCH等危险的方法的访问
mekings13的博客
05-28 1500
在项目运行过程中,会遇到客户拿项目去进行漏洞检测的情况,检测第三方大部分会提出这个问题,将除了get post其他的请求方式全部屏蔽,本篇文章将讲一下如何屏蔽。SpringBoot项目中可以使用filter过滤器来拦截请求。书写一个 HttpMethodFilter 过滤器。
解决SpringSecurity阻止ajax的POSTPUT请求,导致403Forbidden的问题
kodmoqn的博客
04-25 579
解决SpringSecurity阻止ajax的POSTPUT请求,导致403Forbidden的问题
解决:axios中的post请求问题被拦截拦截
欢迎来到我的频道~
08-05 5112
问题描述: 今天遇到个比较坑的问题,后端给的post请求接口,使用ajax请求可以拿到数据,返回都是正常的,但是使用axios请求数据,一直返回异常,而且发现传给后端的数据,莫名的被添加上了引号,变成了字符串,这是怎么回事呢? 问题存在原因: 原来axiospost默认参数格式为字符串,因此传递给后端的数据需要使用axios请求拦截器对post请求的参数做下处理。 问题解决: (1)...
springboot springmvc拦截拦截POSTPUTDELETE请求参数和响应数据,并记录操作日志...
weixin_30898109的博客
05-19 1684
1.操作日志实体类 @Document(collection = "operation_log") @Getter @Setter @ToString public class OperationLog extends BaseEntityWithId { private String userId; // 操作人 private String resource; // ...
SpringSecurityCSRF
ybb_ymm的专栏
04-15 1376
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已 登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。
后端SpringSecurity+vue前端axios+uni-app解决跨站点请求伪造CSRF
weixin_42739423的博客
07-03 1238
1.1.SpringSecurity配置,public class SecurityConfig extends WebSecurityConfigurerAdapter @Override protected void configure(HttpSecurity http) throws Exception { //code... http.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFa
【vue开发问题-解决方法】(三)axios拦截器,post请求问题处理,异步请求封装...
anken1536的博客
06-11 925
axios post请求处理 在vue中使用axios Post请求时会遇到后台接收不到参数问题,查看请求参数格式还是json的数据格式: 而后台需要的数据格式为:key:val格式,所以需要在请求传参之前将数据序列化后再传递到后台: 如果可以引入qs库,然后用qs 将数据做处理。 const qs = require('qs'); axios.post('/fo...
axiospost请求同时传递params和body
11-08
axios库中,当你需要发送POST请求并且同时携带查询参数(params)和正文(body),通常会将它们分开处理。你可以这样做: 1. **Params** (查询字符串): 对于GET请求或URL编码的参数,你可以直接把它们放在`url`选项里,比如: ```javascript const params = { key1: 'value1', key2: 'value2' }; axios.post('api/endpoint', params); ``` 2. **Body** (请求体): 对于POSTPUT、PATCH等方法,你需要提供`data`选项来指定HTTP body内容: ```javascript const data = { username: 'John', password: 'secret' }; axios.post('api/endpoint', data, { headers: {'Content-Type': 'application/json'}, // 如果是JSON格式 }); ``` 或者,如果你的API支持form-data格式,可以使用`FormData`对象: ```javascript const formData = new FormData(); formData.append('file', file); // 例如上传文件 formData.append('key', value); // 其他表单数据 axios.post('api/endpoint', formData); ``` 注意,对于`Content-Type`设置,如果发送的是JSON,应设置为`'application/json'`;如果是其他类型的数据,如XML或二进制数据,你需要根据实际需求调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值