使用thymeleaf+spring security处理csrf时遇到Cannot create a session after the response has been committed

原创于 2018-09-23 21:59:26 发布 · 1.5k 阅读

0 ·

CC 4.0 BY-SA版权

Spring 同时被 2 个专栏收录

3 篇文章

订阅专栏

Web开发

1 篇文章

订阅专栏

探讨SpringSecurity中CSRF机制与Thymeleaf页面渲染的交互问题，特别是在懒加载session与页面缓冲提交冲突时的解决方案。文章提供了一种在head标签中设置CSRF的保险方法。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

文章目录

spring security中默认csrf是懒加载的，只有在第一次使用_csrf时才会创建session

而thymeleaf页面的缓冲区满后，response会在模板渲染完毕前被提交，所以response已提交时，若在剩余的模板代码中使用了_csrf并且之前还没创建过session，就会报错

还是用head的方式保险

<head>
	<meta name="_csrf" th:content="${_csrf.token}"/>
	<meta name="_csrf_header" th:content="${_csrf.headerName}"/>
</head>

var header = $("meta[name='_csrf_header']").attr("content");
var token = $("meta[name='_csrf']").attr("content");
 
$.ajax({
    url: '/test',
    type: 'POST',
    beforeSend: function(xhr){
        xhr.setRequestHeader(header, token);
    },
    success: function(data) {
        console.log(data);
    },
    error: function (xhr, ajaxOptions, thrownError) {
        console.log(xhr.status + ": " + thrownError);
    }
});