Invalid CSRF Token 'null' was found

最新推荐文章于 2024-10-23 18:07:24 发布
原创 最新推荐文章于 2024-10-23 18:07:24 发布 · 2.8k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权源自:dahouzi.cn

本文解决在使用Spring Boot结合Spring Security时遇到的AJAX提交数据问题。由于Spring Security默认启用了CSRF防御,需要在提交数据时附加${_CSRF}

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在整合spring boot 和spring security的时候,用AJAX提交数据浏览器返回以下提示:

responseText:
""timestamp":1501832200997,"status":403,"error":"Forbidden","message":"Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.","path":"/record/getWaitReceive"}"

查询发现原因是spring security开启了CSRF防御,提交数据时需要同时将${_CSRF}参数传到后台,故,在ajax data内添加以下:

 ${_csrf.parameterName} : "${_csrf.token}"

即可。

若是表单提交:则添加:

<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
图片上传报错 Invalid CSRF Token 'null' was found on the request parameter 'csrf' or header 'x-xsrf-token'
luckyboy198961的博客
03-22 2669
文件上传csrftoken获取不到 <!DOCTYPE html><html><head><title>Apache Tomcat/8.5.6 - Error report</title><style type="text/css">H1 {font-family:Tahoma,Arial,sans-serif;col...
Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.
WGH100817的博客
05-22 1160
1. 问题 前面几篇博客 spring security在集成spring boot的微服务框架后,实现了cas认证和权限控制。但是在使用 postman 进行调用的时候出现这个问题 HTTP Status 403-Invalid CSRF Token 'null' was found on the request parameter '_csr...
spring security CSRF 问题 Invalid CSRF Token 'null' was found on ......
热门推荐
哎幽的成长
02-13 3万+
1. 问题前面几篇博客 spring security在集成spring boot的微服务框架后,实现了cas认证和权限控制。但是在使用 postman 进行调用的时候出现这个问题HTTP Status 403-Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.然
Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'
风雨诗轩的博客
04-27 9075
     Spring Security 4.0之后,引入了CSRF,默认是开启。不得不说,CSRF和RESTful技术有冲突。CSRF默认支持的方法: GET|HEAD|TRACE|OPTIONS,不支持POST。       解决方法有两种:       第一种是在spring security的配置类中将csrf功能禁用,如下@Override protected void configur...
HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf'...
Coding13的博客
07-10 7354
一、问题日志: HTTP Status 403 - Invalid CSRF Token ‘null’ was found on the request parameter ‘_csrf’ or header ‘X-CSRF-TOKEN’ 二、问题原因: Spring Security 4.0之后,引入了CSRF,默认状态为开启。CSRF和RESTful技术有冲突。CSRF默认支持的方法: G
spring boot +spring security+thymeleaf 报CSRF错误
02-14 1223
Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'. 需在页面上添加两段代码 1.在标签中添加 meta name="_csrf" th:content="${_csrf.token}"/> meta name="_csrf_header" th:co
Spring Boot(七):Spring Security如何启用与禁用CSRF
甘焕的博客
11-06 2万+
从Spring Security 4开始,默认启用CSRF机制,本来这也不算什么大事,但与Spring Boot结合在一起,那么实现起来就比较麻烦了,尤其是采用前后端分离式的开发架构后,配置CSRF机制就更困难了,几乎所有网上的解决办法都无法解决如何获取CSRF编码的难题,首先以表单登陆的错误镇楼:There was an unexpected error (type=Forbidden, stat
springboot 导入接口 csrf validate fail
最新发布
08-12
关键点是CSRF验证失败,错误如引用[1]所述:HTTP Status 403 - Invalid CSRF Token 'null' was found。 我需要提供一个结构清晰的解决方案,帮助用户逐步解决问题。回答应该真实可靠,基于提供的引用。 步骤分解:...
笔记-PSOT请求报错:Invalid CSRF Token ‘null‘ was found on the request parameter ‘_csrf‘......
taotiezhengfeng的博客
10-23 1542
使用 postman 执行get请求正常,但执行 post 请求时报错: Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-XSRF-TOKEN'。本文分析原因,并给出解决方案
【写Bug记录】Invalid CSRF Token ‘null‘ was found on the request parameter ‘_csrf‘ or header ‘X-CSRF-TOKEN
qq_30130435的博客
11-14 696
出现上述情况时,请参考这两篇文章,说得比较清楚: https://www.cnblogs.com/striver-zhu/p/7295538.html https://blog.youkuaiyun.com/lvyuan1234/article/details/80112139
HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header
爱我中华之笔耕不缀!
03-11 2156
平胸而论,开发中在下遇到403错误的机会还真是不多,但近日朋友遇到一个403错误,入下所示: HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'    这个错误是因为做了安全要求,项目采用的Spring 4.x Secu
HTTP Status 403 - Invalid CSRF Token ‘null‘ was found on the request parameter ‘_csrf‘ or header解决方法
。。。。
08-02 2482
HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf' o...
SpringSecurity文件上传 CSRF错误:Invalid CSRF Token 'null' was found on the request parameter '_csrf' or ..
liu911025的博客
06-22 3234
Spring Security CSRF,默认是开启。CSRF默认支持的方法: GET|HEAD|TRACE|OPTIONS,不支持POST。比较关键的一点是如果这个http请求是get方式发起的请求,意味着它只是访问服务器 的资源,仅仅只是查询,没有更新服务器的资源,所以对于这类请求,spring security的防御策略是允许的,如果这个请求是通过post请求发起的, 那么spring se...
Spring Security 自定义登陆页面报HTTP Status 403 - Invalid CSRF Token 'null' was found on the request paramet
jxchallenger的专栏
02-28 8553
在表单中添加隐藏域 Spring Security默认启用CSRF 防御 官方原文: When should you use CSRF protection? Our recommendation is to use CSRF protection for any request that could be processed by a browser by
swagger、postman调试接口需要登录,报403 Invalid CSRF Token null ....
qq_40883633的博客
09-20 8810
{ "timestamp": "2019-09-20T07:10:50.947+0000", "status": 403, "error": "Forbidden", "message": "Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-XSRF-TOKEN'.",...
java post 403_java – HTTP状态403 – 在请求参数上找到无效的CSRF令牌“null”
weixin_28825959的博客
02-16 925
我必须向我的restful服务发出HTTP.Post(Android App),以注册新用户!问题是,当我尝试向注册终端发出请求(没有安全性)时,Spring一直阻止我!我的项目依赖关系MysqL.connector.version>5.1.30MysqL.connector.version>春季安全调节器@RestController@RequestMapping(value="/w...
Error: invalid csrf token
renpinghao的专栏
04-08 1万+
版权所有:一介布衣  原文地址:http://yijiebuyi.com/blog/74528e6546834ebfec47daf4e222d621.html  无特别说明均为原创,欢迎各种形式转载,转载请保留此段申明。 当你的Express 升级到4.0+版本后,有没有遇到过下面这个问题. {    [Error: invalid csrf token]   expo
invalid csrf token 问题解决
lepton126的专栏
09-06 2万+
该条消息意是指浏览器无法创建安全的cookie或者无法读取授权登录的cookie,应该是浏览器本身不允许设置cookies。 以下步骤可解决这个问题。 Chrome 打开Chrome的设置。 在隐私设置和安全性版块中,点击Cookies及其他网站数据。 下滑到始终能使用 Cookie 的网站并点击添加。 复制粘贴"[*.]example.com"并点击添加。 然后复制粘贴"[*.]test.net"并点击添加。 点击所有cookies和网站数据,搜索example或test,然后删除所有的相关条目。 重
Invalid CSRF token.
04-01
<think>好的,我现在需要解决用户遇到的“Invalid CSRF token”问题。首先,用户提到在Spring Security中,当会话超时时会出现这个问题,所以这可能涉及到CSRF令牌与会话关联的情况。 根据引用[1],当会话超时后,CSRF令牌可能已经失效,导致提交表单时令牌不匹配。这时,Spring Security默认会返回403错误,而不是让用户会话失效,这可能影响用户体验。用户可能需要处理这种情况,比如跳转到登录页面或者显示错误信息。 接下来,引用[2]中提到,可以通过禁用CSRF保护来避免这个问题,但这显然不安全,不推荐。另一种方法是在所有PATCH、POST、PUT和DELETE方法中包含CSRF令牌。例如,在表单中使用_csrf属性来获取当前令牌,确保每次提交都带有有效的令牌。这可能需要在客户端正确生成和传递令牌,特别是在会话更新时,比如登录后或超时后重新生成令牌。 引用[3]指出,Spring Security处理无效CSRF令牌的方式是返回403,但可以自定义处理方式,比如配置AccessDeniedHandler来处理InvalidCsrfTokenException,这样可以在令牌无效时执行特定操作,比如重定向到登录页面或显示友好的错误提示。 可能的解决方案包括:确保客户端在每次提交时都包含最新的CSRF令牌,特别是在会话超时后重新获取令牌;配置自定义的AccessDeniedHandler来处理异常;或者考虑在会话超时后刷新页面,让用户重新登录并生成新的令牌。 另外,需要检查前端代码是否正确嵌入了CSRF令牌。比如在Thymeleaf模板中,可以使用<input type="hidden" name="_csrf" th:value="${_csrf.token}"/>来自动添加令牌。如果使用AJAX请求,需要将令牌添加到请求头中。 还需要考虑会话管理设置,确保会话超时时间合理,并且在会话失效时,前端能够检测到并处理,比如弹出重新登录的提示,从而避免提交过期的令牌。 总结可能的解决步骤:1. 确保所有表单和请求正确包含CSRF令牌;2. 配置异常处理,自定义无效令牌时的响应;3. 前端处理会话超时,及时刷新令牌;4. 调整会话超时时间或提示用户保持活动状态。</think>为了解决Spring Security中出现的"Invalid CSRF token"错误,可以按照以下步骤进行排查和修复: ### 一、基础配置验证 1. **确保表单包含CSRF令牌** 在提交表单时必须携带`_csrf`参数。使用Thymeleaf模板时,会自动生成该字段: ```html <form ...> <input type="hidden" name="_csrf" th:value="${_csrf.token}"/> </form> ``` 若使用JSP,需显式添加: ```jsp <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/> ``` 2. **检查安全配置** 确认未禁用CSRF保护(禁用会降低安全性): ```java @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .csrf() // 必须保留此行 .and() ...其他配置; } } ``` ### 二、会话超时处理方案 当会话过期导致CSRF令牌失效时,可通过以下方式优化用户体验: 1. **自定义访问拒绝处理器** ```java http.exceptionHandling() .accessDeniedHandler((request, response, ex) -> { if (ex instanceof InvalidCsrfTokenException) { response.sendRedirect("/session-expired"); // 重定向到会话过期页面 } else { response.sendError(403, "Access Denied"); } }); ``` 2. **前端会话检测(JavaScript示例)** ```javascript // 检查会话状态 setInterval(() => { fetch('/check-session') .then(response => { if (response.status === 440) { // 自定义会话过期状态码 window.location.href = '/login?timeout=1'; } }) }, 300000); // 每5分钟检测一次 ``` ### 三、AJAX请求特殊处理 对于异步请求需要设置请求头: ```javascript var csrfToken = document.querySelector("meta[name='_csrf']").content; var csrfHeader = document.querySelector("meta[name='_csrf_header']").content; fetch('/api/data', { method: 'POST', headers: { [csrfHeader]: csrfToken, 'Content-Type': 'application/json' }, body: JSON.stringify(payload) }); ``` ### 四、配置建议 | 配置项 | 推荐值 | 说明 | |-------------------------|-------------|----------------------------------------------------------------------| | session.timeout | 1800秒 | 会话有效期建议不超过30分钟[^1] | | csrf.token.ttl | 3600秒 | CSRF令牌有效期应长于会话时间 | | cookie.same-site | Lax | 防止CSRF攻击的Cookie策略 | ### 五、调试方法 1. 通过浏览器开发者工具检查网络请求是否携带`_csrf`参数 2. 查看服务端日志中的`InvalidCsrfTokenException`堆栈信息 3. 使用Postman测试时需手动添加CSRF令牌头
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值