使用thymeleaf+spring security处理csrf时遇到Cannot create a session after the response has been committed

最新推荐文章于 2022-11-05 17:30:03 发布
原创 最新推荐文章于 2022-11-05 17:30:03 发布 · 1.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

探讨SpringSecurity中CSRF机制与Thymeleaf页面渲染的交互问题,特别是在懒加载session与页面缓冲提交冲突时的解决方案。文章提供了一种在head标签中设置CSRF的保险方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录


spring security中默认csrf是懒加载的,只有在第一次使用_csrf时才会创建session

而thymeleaf页面的缓冲区满后,response会在模板渲染完毕前被提交,所以response已提交时,若在剩余的模板代码中使用了_csrf并且之前还没创建过session,就会报错

还是用head的方式保险

<head>
	<meta name="_csrf" th:content="${_csrf.token}"/>
	<meta name="_csrf_header" th:content="${_csrf.headerName}"/>
</head>

var header = $("meta[name='_csrf_header']").attr("content");
var token = $("meta[name='_csrf']").attr("content");
 
$.ajax({
    url: '/test',
    type: 'POST',
    beforeSend: function(xhr){
        xhr.setRequestHeader(header, token);
    },
    success: function(data) {
        console.log(data);
    },
    error: function (xhr, ajaxOptions, thrownError) {
        console.log(xhr.status + ": " + thrownError);
    }
});

参考:
https://www.cnblogs.com/ismallboy/p/6785328.html
https://blog.youkuaiyun.com/starrrr2/article/details/50074445

spring boot +spring security+thymeleafCSRF错误
02-14 1223
Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'. 需在页面上添加两段代码 1.在标签中添加 meta name="_csrf" th:content="${_csrf.token}"/> meta name="_csrf_header" th:co
全注解 spring boot +spring security + mybatis+druid+thymeleaf+jsp+mysql+bootstrap
12-25
全注解 spring boot +spring security + mybatis+druid+thymeleaf+jsp+mysql+bootstrap 支持thymeleaf和jsp并存 全注解 spring boot spring security thymeleaf+jsp同使用 mybatis druid mysql bootstrap 访问 ...
[Exceptions Spring 2] - Cannot create a session after the response has been committed
weixin_34343308的博客
02-23 211
2016-02-23 14:06:27,416 [http-bio-8080-exec-1] DEBUG [org.springframework.beans.factory.support.DefaultListableBeanFactory] - Returning cached instance of singleton bean 'sqlSessionFactory'二月 23, 2016...
Server报错:java.lang.IllegalStateException: Cannot create a session after the response has been commit
BugMaker
06-14 6057
Server报错:java.lang.IllegalStateException: Cannot create a session after the response has been committed
java.lang.IllegalStateException: Cannot forward after response has been comm 解决办法
断翼天使
12-05 1万+
java.lang.IllegalStateException: Cannot forward after response has been comm   出现的问题是: java.lang.IllegalStateException: Cannot forward after response has been committed com.AppendD
Cannot create a session after the response has been committed
ldm54466183的博客
02-20 3364
springboot项目开发,在发生页面跳转,提示如上错误。在网上搜索发现,response响应后,再发送获取session的请求就会触发这个错误
RoomsManager:spring boot + thymeleaf + spring security + PostgreSql + AngularJS Web应用程序,用于管理房间的位置
05-02
客房经理 spring boot + thymeleaf + spring security + PostgreSql + AngularJS Web应用程序,用于管理房间的位置 这是一个学习建议的Java EE / Spring引导Web应用程序
全注解 spring boot +spring security + mybatis+druid+thymeleaf+mysql+bootstrap
12-20
标题中的"全注解 spring boot +spring security + mybatis+druid+thymeleaf+mysql+bootstrap"是一个集成开发环境的配置,涉及到的主要技术有Spring Boot、Spring Security、MyBatis、Druid、Thymeleaf、MySQL以及...
springboot+thymeleaf+springsecurity 实现的一个小案例,包含登录,注册;登录成功后员工信息查看
10-20
通过这个案例,开发者可以学习到如何使用Spring Boot构建项目的骨架,利用Thymeleaf作为模板引擎来展示动态内容,以及如何集成Spring Security处理安全认证和授权。这个案例对于初学者来说是一个很好的起点,因为...
SpringBoot + Thymeleaf + WebSocket + Spring Security + SpringData-Jpa
10-26
在这个项目中,SpringBoot作为基础框架,Thymeleaf处理视图渲染,WebSocket实现实通信,Spring Security确保安全,SpringData-Jpa处理数据库操作,MySQL作为数据存储,而Layui则负责提供用户界面。这个组合可以...
Springboot错误Cannot forward to error page for request[/api]as the response has already been committed
好记性不如烂笔头
05-21 1万+
Cannot forward to error page for request[/ as the response has already been committed
关于我碰到的Cannot create a session after the response has been committed
toubaokewu的博客
03-29 2767
我的场景是这样的,用户通过一个接口跳转到订单页面的候,明明已经跳转成功,但就是报以上异常,跟踪了一天异常信息也并没有发现到底是因为什么,后来发现是因为我在接口里为BigDecimal赋值并写入数据库的候,值是null,虽然不理解到底是不是这个原因造成的这个异常,但是总而言之,是自己的代码书写不规范造成的,谨以此文告诫自己代码书写要规范要规范要规范...
使用Spring SecurityThymeleaf进行CSRF保护
allway2的博客
11-05 1087
是一个Java模板引擎,用于处理和创建HTML,XML,JavaScript,CSS和纯文本。发送请求Spring 会将生成的令牌与存储在会话中的令牌进行比较,以确认用户没有被黑客入侵。CSRF 是一种攻击,它强制最终用户在当前经过身份验证的 Web 应用程序中执行不需要的操作。在本文中,我们将讨论如何使用Thymeleaf应用程序在Spring MVC中。由于缺少CSRF令牌,第一个测试将导致禁止状态,而第二个测试将正确执行。我们的请求被拒绝,因为我们发送的请求没有 CSRF 令牌。
SpringBoot+SpringSecurity之如何forword到登录页面
weixin_30950237的博客
11-15 143
当我们在项目中引入了SpringSecurity框架进行身份校验的候,如果某个请求需要用户身份认证,那么SpringSecurity会将用户redirect到登录页面。但是有些候我们希望是forward到登录页面而不是redirect到登录页面,这种情况下可做如下配置: @Bean public AuthenticationEntryPoint loginUrlAuthenticati...
Cas中,Cannot create a session after the response has been committed异常解决方案
qq_36956015的博客
02-23 1063
Cas中,Cannot create a session after the response has been committed异常,是由于cas在登录后两秒把session给end了,导致session获取不到,解决办法是在cas-servlet.xml 配置timeToDieInSeconds这个值 把间设置长一些就好了,如下: ...
SpringBoot+SpringSecurity防护CSRF(基于Thymeleaf
【欢迎关注公众号:冬瓜白】
07-22 6175
使用Thymeleaf的话,SpringSecurity防护就简单多了。 引入Thymeleaf依赖: 开启crsf防护: 前端html: &lt;!DOCTYPE html&gt; &lt;html xmlns:th="http://www.thymeleaf.org" lang="en"&gt; &lt;head&gt; &lt;meta charset="UTF-8...
Cannot forward to error page for request [/] as the response has already been committed. As a result
热门推荐
u013958151的博客
01-21 4万+
我遇到这个错误是因为我创建的spring boot 项目,使用jsp模板,但是jsp页面放在了resources文件夹里面所以出现了这个错误 创建了传统web项目的结构之后,修复了该问题,就是将jsp页面放在webapp/WEB-INF/ 文件夹下面 程序入口class文件 package com.xiaogang; import org.springframework
基于 Spring Boot + Thymeleaf +Spring Security +Spring Boot 3 框架 应用开发
最新发布
05-15
### Spring Boot 3、ThymeleafSpring Security 的应用开发教程 #### 一、项目初始化 为了使用 Spring Boot 3 开发基于 ThymeleafSpring Security 的应用程序,首先需要创建一个新的 Maven 或 Gradle 项目。以下是具体的依赖配置: 在 `pom.xml` 文件中添加以下依赖项来支持 ThymeleafSpring Security 功能: ```xml <dependencies> <!-- Spring Boot Starter Web --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <!-- Thymeleaf Template Engine --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymeleaf</artifactId> </dependency> <!-- Spring Security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> </dependencies> ``` 这些依赖分别用于启用 Spring MVC[^1]、模板引擎 Thymeleaf[^1] 和安全框架 Spring Security[^4]。 --- #### 二、Spring Security 配置 在 Spring Boot 中集成 Spring Security 可以为应用程序提供身份验证和授权功能。可以通过编写一个自定义的安全配置类实现这一点。 创建名为 `MySecurityConfig.java` 的配置类并继承 `WebSecurityConfigurerAdapter`(注意:在 Spring Security 5.7.x 后已废弃此适配器,推荐直接注入 Bean)。以下是示例代码: ```java import org.springframework.context.annotation.Bean; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.crypto.password.PasswordEncoder; import org.springframework.security.web.SecurityFilterChain; public class MySecurityConfig { @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .authorizeHttpRequests((requests) -> requests .requestMatchers("/", "/home").permitAll() .anyRequest().authenticated()) .formLogin((form) -> form .loginPage("/login") .defaultSuccessUrl("/dashboard", true)) .logout((logout) -> logout.logoutUrl("/logout")) .csrf().disable(); return http.build(); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } } ``` 这段代码实现了基本的身份验证逻辑,包括登录页面指定、成功重定向以及 CSRF 攻击防护关闭等功能[^4]。 --- #### 三、Thymeleaf 页面设计 Thymeleaf 是一种现代服务器端 Java 模板引擎,能够很好地与 HTML 结合工作。可以在项目的 `src/main/resources/templates/` 路径下创建 `.html` 文件作为视图层。 例如,创建一个简单的登录页面 `login.html` 如下所示: ```html <!DOCTYPE html> <html xmlns:th="http://www.thymeleaf.org"> <head> <title>Login Page</title> </head> <body> <h1>Login to your account</h1> <form th:action="@{/login}" method="post"> <label for="username">Username:</label> <input type="text" id="username" name="username"/> <br/> <label for="password">Password:</label> <input type="password" id="password" name="password"/> <br/> <button type="submit">Log In</button> </form> </body> </html> ``` 这个表单会提交至 `/login` URL 地址,并由 Spring Security 处理认证请求[^2]。 --- #### 四、控制器设置 最后一步是为前端页面绑定对应的后端处理方法。可以创建一个基础的控制器类完成这一目标。 示例代码如下: ```java import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.GetMapping; @Controller public class HomeController { @GetMapping("/") public String home() { return "index"; // 映射到 templates/index.html } @GetMapping("/login") public String login() { return "login"; // 映射到 templates/login.html } @GetMapping("/dashboard") public String dashboard() { return "dashboard"; // 用户登录后的主页映射 } } ``` 以上代码展示了如何通过注解的方式将 HTTP 请求路由到特定的方法上。 --- #### 总结 本教程介绍了如何利用 Spring Boot 3 构建集成了 ThymeleafSpring Security 的简单 Web 应用程序。涵盖了从项目搭建到核心组件配置的过程,帮助开发者快速入门此类技术栈的应用开发。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值