图片上传报错 Invalid CSRF Token 'null' was found on the request parameter 'csrf' or header 'x-xsrf-token'

最新推荐文章于 2025-03-16 17:32:16 发布
最新推荐文章于 2025-03-16 17:32:16 发布
阅读量2.6k 收藏
点赞数 1
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/luckyboy198961/article/details/104646708
版权
本文主要描述了在使用Spring进行图片上传时遇到的Invalid CSRF Token错误,问题根源在于临时上传目录不存在。通过分析错误信息,创建缺失的临时目录解决了问题。同时提出,启用Spring安全的CSRF验证后,建议使用header传递CSRF token以避免类似问题。最后分享了如何通过配置`spring.http.multipart.location`来更改上传临时目录,以防止因Linux系统清理临时目录导致的问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

    做了一个图片上传功能,刚开发完的时候测试好好的。这了一段时间上传就报403了,后台返回错误信息Invalid CSRF Token 'null' was found on the request parameter 'p_csrf' or header 'x-xsrf-token'.。这是为什么呢?后来重启了一次问题解决但没过多长时间问题又出现了。看来这个问题得解决了。看了一下传参感觉也没问题。但是为什么会报这个错呢?翻源码也没找到是为什么。参数是有的但是就是取不到。后为尝试用postman把csrftoken参数加到了header里,报错竟然变成了Could not parse multipart servlet request; nested exception is java.io.IOException: The temporary upload location [C:\Users\user\AppData\Local\Temp\tomcat.489169133972874740.7001\work\Tomcat\localhost\ROOT\home\admin\tmp] is not valid,原来是因为上传的临时目录不存在,果断按报错信息新建目录问题解决。但是目录为什么会补删除呢。查了一下是因为liunx会定期清理临时目录,但是又修改不了服务器配置,怎么能改变这个临时目录的位置又查了一下可以在application.properties文件里加spring.http.multipart.location=临时目录(目录必须存在,项目重启的时候并不会自动创建)

最终问题得到了解决。现就此问题总结如下:

   1.引起此问题的真正原因并不是csrf token获取不到,而是临时目录被删了(csrf获取不到掩盖了真实原因)<

最低0.47元/天 解锁文章
luckyboy198961
关注
Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.
WGH100817的博客
05-22 1145
1. 问题 前面几篇博客 spring security在集成spring boot的微服务框架后,实现了cas认证和权限控制。但是在使用 postman 进行调用的时候出现这个问题 HTTP Status 403-Invalid CSRF Token 'null' was found on the request parameter '_csr...
Jmeter学习和一个关于jmeter获取X-XSRF-TOKEN时的坑
weixin_56039103的博客
08-07 2113
所以整理之后的脚本进行合理的调整后应该长这样:其中的每个部件:(1)全局HTTP Cookie管理器(2)全局HTTP请求头(3)登录前置事务管理器、边界表达式提取器登录前置事务管理器边界表达式提取器(4)登录事务管理器、登录请求头、json提取器登录事务管理器登录请求头json提取器(5)业务事务管理器、业务请求头业务事务管理器业务请求头(6)结果树。
Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'
weixin_30718391的博客
08-06 452
Spring Security :HTTP Status 403-Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'. 原因:1.Spring Security 4.0之后,引入了CSRF,默认是开启。CSRF默认支持的方法: GET|HEAD|TRACE|OP...
spring security CSRF 问题 Invalid CSRF Token 'null' was found on ......
热门推荐
哎幽的成长
02-13 3万+
1. 问题前面几篇博客 spring security在集成spring boot的微服务框架后,实现了cas认证和权限控制。但是在使用 postman 进行调用的时候出现这个问题HTTP Status 403-Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.然
HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header
爱我中华之笔耕不缀!
03-11 2140
平胸而论,开发中在下遇到403错误的机会还真是不多,但近日朋友遇到一个403错误,入下所示: HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'    这个错误是因为做了安全要求,项目采用的Spring 4.x Secu
前端说按钮点击无效,后端发现他漏传了CSRF Token
yuanwei9467的专栏
03-16 423
上午10点,前端同事紧急反馈:“用户中心的‘修改密码’按钮点击后无任何反应,控制台也没有报错!打开Chrome开发者工具,发现点击按钮后触发的POST请求状态码为。,待CORS调通后再开启安全校验,避免双重变量干扰排查。→ 实际请求头被CORS策略过滤。• 导致正式请求被CORS策略拦截。浏览器Cookie与请求头对比。→ Cookie被浏览器拦截。当前后端分离遇上CSRF防护,首次GET请求响应头携带。后续POST请求头需携带。头 → 后端未将该头加入。(否则前端JS无法读取)发现请求头中**缺失。
Spring Boot(七):Spring Security如何启用与禁用CSRF
甘焕的博客
11-06 2万+
从Spring Security 4开始,默认启用CSRF机制,本来这也不算什么大事,但与Spring Boot结合在一起,那么实现起来就比较麻烦了,尤其是采用前后端分离式的开发架构后,配置CSRF机制就更困难了,几乎所有网上的解决办法都无法解决如何获取CSRF编码的难题,首先以表单登陆的错误镇楼:There was an unexpected error (type=Forbidden, stat
HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf'...
Coding13的博客
07-10 7327
一、问题日志: HTTP Status 403 - Invalid CSRF Token ‘null’ was found on the request parameter ‘_csrfor header ‘X-CSRF-TOKEN’ 二、问题原因: Spring Security 4.0之后,引入了CSRF,默认状态为开启。CSRF和RESTful技术有冲突。CSRF默认支持的方法: G
【写Bug记录】Invalid CSRF Token ‘null‘ was found on the request parameter ‘_csrfor header ‘X-CSRF-TOKEN
qq_30130435的博客
11-14 688
出现上述情况时,请参考这两篇文章,说得比较清楚: https://www.cnblogs.com/striver-zhu/p/7295538.html https://blog.youkuaiyun.com/lvyuan1234/article/details/80112139
笔记-PSOT请求报错:Invalid CSRF Token ‘null‘ was found on the request parameter ‘_csrf‘......
taotiezhengfeng的博客
10-23 1345
使用 postman 执行get请求正常,但执行 post 请求时报错Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-XSRF-TOKEN'。本文分析原因,并给出解决方案
Invalid CSRF Token 'null' was found
大猴子
08-04 2874
在整合spring boot 和spring security的时候,用AJAX提交数据浏览器返回以下提示:responseText: ""timestamp":1501832200997,"status":403,"error":"Forbidden","message":"Invalid CSRF Token 'null' was found on the request parameter '
Spring Security 自定义登陆页面报HTTP Status 403 - Invalid CSRF Token 'null' was found on the request paramet
jxchallenger的专栏
02-28 8511
在表单中添加隐藏域 Spring Security默认启用CSRF 防御 官方原文: When should you use CSRF protection? Our recommendation is to use CSRF protection for any request that could be processed by a browser by
HTTP Status 403 - Invalid CSRF Token ‘null‘ was found on the request parameter ‘_csrfor header解决方法
。。。。
08-02 2446
HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf' o...
java post 403_java – HTTP状态403 – 在请求参数上找到无效的CSRF令牌“null”
weixin_28825959的博客
02-16 915
我必须向我的restful服务发出HTTP.Post(Android App),以注册新用户!问题是,当我尝试向注册终端发出请求(没有安全性)时,Spring一直阻止我!我的项目依赖关系MysqL.connector.version>5.1.30MysqL.connector.version>春季安全调节器@RestController@RequestMapping(value="/w...
SpringSecurity文件上传 CSRF错误:Invalid CSRF Token 'null' was found on the request parameter '_csrf' or ..
liu911025的博客
06-22 3210
Spring Security CSRF,默认是开启。CSRF默认支持的方法: GET|HEAD|TRACE|OPTIONS,不支持POST。比较关键的一点是如果这个http请求是get方式发起的请求,意味着它只是访问服务器 的资源,仅仅只是查询,没有更新服务器的资源,所以对于这类请求,spring security的防御策略是允许的,如果这个请求是通过post请求发起的, 那么spring se...
swagger、postman调试接口需要登录,报403 Invalid CSRF Token null ....
qq_40883633的博客
09-20 8745
{ "timestamp": "2019-09-20T07:10:50.947+0000", "status": 403, "error": "Forbidden", "message": "Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-XSRF-TOKEN'.",...
Error: invalid csrf token
renpinghao的专栏
04-08 1万+
版权所有:一介布衣  原文地址:http://yijiebuyi.com/blog/74528e6546834ebfec47daf4e222d621.html  无特别说明均为原创,欢迎各种形式转载,转载请保留此段申明。 当你的Express 升级到4.0+版本后,有没有遇到过下面这个问题. {    [Errorinvalid csrf token]   expo
java报错 csrf_java – 未找到预期的CSRF令牌.您的会话是否...
weixin_42492000的博客
02-25 322
我正在尝试使用mkyong示例编写我的测试弹簧安全应用程序.Spring Security: 4.0.0.RC1Spring: 4.1.4.RELEASE我有以下安全配置:access="hasRole('ADMIN')"/>username-parameter="user"password-parameter="password"login-page="/"default-target-u...
Invalid CSRF token.
最新发布
04-01
<think>好的,我现在需要解决用户遇到的“Invalid CSRF token”问题。首先,用户提到在Spring Security中,当会话超时时会出现这个问题,所以这可能涉及到CSRF令牌与会话关联的情况。 根据引用[1],当会话超时后,CSRF令牌可能已经失效,导致提交表单时令牌不匹配。这时,Spring Security默认会返回403错误,而不是让用户会话失效,这可能影响用户体验。用户可能需要处理这种情况,比如跳转到登录页面或者显示错误信息。 接下来,引用[2]中提到,可以通过禁用CSRF保护来避免这个问题,但这显然不安全,不推荐。另一种方法是在所有PATCH、POST、PUT和DELETE方法中包含CSRF令牌。例如,在表单中使用_csrf属性来获取当前令牌,确保每次提交都带有有效的令牌。这可能需要在客户端正确生成和传递令牌,特别是在会话更新时,比如登录后或超时后重新生成令牌。 引用[3]指出,Spring Security处理无效CSRF令牌的方式是返回403,但可以自定义处理方式,比如配置AccessDeniedHandler来处理InvalidCsrfTokenException,这样可以在令牌无效时执行特定操作,比如重定向到登录页面或显示友好的错误提示。 可能的解决方案包括:确保客户端在每次提交时都包含最新的CSRF令牌,特别是在会话超时后重新获取令牌;配置自定义的AccessDeniedHandler来处理异常;或者考虑在会话超时后刷新页面,让用户重新登录并生成新的令牌。 另外,需要检查前端代码是否正确嵌入了CSRF令牌。比如在Thymeleaf模板中,可以使用<input type="hidden" name="_csrf" th:value="${_csrf.token}"/>来自动添加令牌。如果使用AJAX请求,需要将令牌添加到请求头中。 还需要考虑会话管理设置,确保会话超时时间合理,并且在会话失效时,前端能够检测到并处理,比如弹出重新登录的提示,从而避免提交过期的令牌。 总结可能的解决步骤:1. 确保所有表单和请求正确包含CSRF令牌;2. 配置异常处理,自定义无效令牌时的响应;3. 前端处理会话超时,及时刷新令牌;4. 调整会话超时时间或提示用户保持活动状态。</think>为了解决Spring Security中出现的"Invalid CSRF token"错误,可以按照以下步骤进行排查和修复: ### 一、基础配置验证 1. **确保表单包含CSRF令牌** 在提交表单时必须携带`_csrf`参数。使用Thymeleaf模板时,会自动生成该字段: ```html <form ...> <input type="hidden" name="_csrf" th:value="${_csrf.token}"/> </form> ``` 若使用JSP,需显式添加: ```jsp <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/> ``` 2. **检查安全配置** 确认未禁用CSRF保护(禁用会降低安全性): ```java @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .csrf() // 必须保留此行 .and() ...其他配置; } } ``` ### 二、会话超时处理方案 当会话过期导致CSRF令牌失效时,可通过以下方式优化用户体验: 1. **自定义访问拒绝处理器** ```java http.exceptionHandling() .accessDeniedHandler((request, response, ex) -> { if (ex instanceof InvalidCsrfTokenException) { response.sendRedirect("/session-expired"); // 重定向到会话过期页面 } else { response.sendError(403, "Access Denied"); } }); ``` 2. **前端会话检测(JavaScript示例)** ```javascript // 检查会话状态 setInterval(() => { fetch('/check-session') .then(response => { if (response.status === 440) { // 自定义会话过期状态码 window.location.href = '/login?timeout=1'; } }) }, 300000); // 每5分钟检测一次 ``` ### 三、AJAX请求特殊处理 对于异步请求需要设置请求头: ```javascript var csrfToken = document.querySelector("meta[name='_csrf']").content; var csrfHeader = document.querySelector("meta[name='_csrf_header']").content; fetch('/api/data', { method: 'POST', headers: { [csrfHeader]: csrfToken, 'Content-Type': 'application/json' }, body: JSON.stringify(payload) }); ``` ### 四、配置建议 | 配置项 | 推荐值 | 说明 | |-------------------------|-------------|----------------------------------------------------------------------| | session.timeout | 1800秒 | 会话有效期建议不超过30分钟[^1] | | csrf.token.ttl | 3600秒 | CSRF令牌有效期应长于会话时间 | | cookie.same-site | Lax | 防止CSRF攻击的Cookie策略 | ### 五、调试方法 1. 通过浏览器开发者工具检查网络请求是否携带`_csrf`参数 2. 查看服务端日志中的`InvalidCsrfTokenException`堆栈信息 3. 使用Postman测试时需手动添加CSRF令牌头
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值