Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'

最新推荐文章于 2025-06-09 12:28:55 发布
最新推荐文章于 2025-06-09 12:28:55 发布
阅读量9k 收藏 4
点赞数 1
CC 4.0 BY-SA版权
分类专栏: springsecurity 文章标签: springsecurity csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lvyuan1234/article/details/80112139
本文介绍Spring Security 4.0及以后版本中如何处理CSRF攻击问题。提供了两种解决方案:一是禁用CSRF保护;二是通过在表单或AJAX请求中加入CSRF令牌来兼容RESTful设计。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

     Spring Security 4.0之后,引入了CSRF,默认是开启。不得不说,CSRF和RESTful技术有冲突。CSRF默认支持的方法: GET|HEAD|TRACE|OPTIONS,不支持POST。

       解决方法有两种:

       第一种是在spring security的配置类中将csrf功能禁用,如下

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable().authorizeRequests() //这里将csrf置为disable,禁用
            .antMatchers("/").permitAll().anyRequest().authenticated()...//其他配置

  

       第二种是把csrf参数加上,这里有两种情况:

      (1)如果是一个表单提交,例如<form  action='/login'  />登陆表单或其他表单,我们可以在表单里面加入一个隐藏域,用来存放csrf参数:

<form class="col s12" action="/login" method="post">
    
    <input id="username" name="username" type="text" class="validate"/>
            
    
    <input id="password" name="password" type="password" class="validate"/>
            
    
    <button class="btn indigo waves-effect waves-light" type="submit" name="action">Submit
        <i class="mdi-content-send right"></i>
    </button>
  
    <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
</form>

     

    (2)如果是发送ajax请求,我们可以将csrf参数放在页面head标签里的meta元素中,然后就可以在页面加载的时候设置ajax全局属性,即将全局ajax操作附加header属性,在header将csrf参数带进去:

<#assign security=JspTaglibs["http://www.springframework.org/security/tags"]/>
<!DOCTYPE html>
<html>
<head>
    <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1"/>
    <meta charset="utf-8"/>
    <title>管理</title>
    <meta name="_csrf" content="${_csrf.token}" />
    <meta name="_csrf_header" content="${_csrf.headerName}" />
    <meta name="description" content="Restyling jQuery UI Widgets and Elements"/>
    <meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0"/>
    <link rel="stylesheet" href="/css/basic.css"/>
   
</head>
<body class="no-skin">
   // 中间省略
    
<#include "../footer/footer.ftl">
    
<#include "../scripts/scripts.ftl">
<script type="text/javascript" src="/dist/js/user/group/groupList.js"></script>
<script src="/dist/js/toastr.js"></script>
<script>
   
    var token = $("meta[name='_csrf']").attr("content");
    var header = $("meta[name='_csrf_header']").attr("content");
    $(document).ajaxSend(function(e, xhr, options) {
        xhr.setRequestHeader(header, token);
    });

</script>
</body>
</html>

   

    这样的话,每次发送ajax请求都会携带那个参数,打开浏览器控制台,查看一条ajax请求,会在Header一栏看到如下信息:



    参考博客:https://stackoverflow.com/questions/23477344/put-csrf-into-headers-in-spring-4-0-3-spring-security-3-2-3-thymeleaf-2-1-2

图片上传报错 Invalid CSRF Token 'null' was found on the request parameter 'csrf' or header 'x-xsrf-token'
luckyboy198961的博客
03-22 2669
文件上传csrftoken获取不到 <!DOCTYPE html><html><head><title>Apache Tomcat/8.5.6 - Error report</title><style type="text/css">H1 {font-family:Tahoma,Arial,sans-serif;col...
Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.
WGH100817的博客
05-22 1160
1. 问题 前面几篇博客 spring security在集成spring boot的微服务框架后,实现了cas认证和权限控制。但是在使用 postman 进行调用的时候出现这个问题 HTTP Status 403-Invalid CSRF Token 'null' was found on the request parameter '_csr...
CSRF Token
最新发布
aheyor的博客
06-09 656
Pikachu的CSRF Token关卡中,若编辑请求未校验TokenToken静态固定,则Burp Suite可直接修改参数完成攻击。A[用户访问表单] --> B[服务端生成Token]欲深入Burp插件配置或Token生成源码,可参考。C --> D[用户提交携带Token的请求]D --> E[服务端校验Token一致性]B --> C[嵌入表单隐藏域/响应头]F -->|是| G[执行操作]F -->|否| H[拒绝请求]用户提交携带Token的请求。E --> F{合法?
HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf'...
Coding13的博客
07-10 7354
一、问题日志: HTTP Status 403 - Invalid CSRF Token ‘null’ was found on the request parameter ‘_csrfor header ‘X-CSRF-TOKEN’ 二、问题原因: Spring Security 4.0之后,引入了CSRF,默认状态为开启。CSRF和RESTful技术有冲突。CSRF默认支持的方法: G
【写Bug记录】Invalid CSRF Token ‘null‘ was found on the request parameter ‘_csrfor header ‘X-CSRF-TOKEN
qq_30130435的博客
11-14 696
出现上述情况时,请参考这两篇文章,说得比较清楚: https://www.cnblogs.com/striver-zhu/p/7295538.html https://blog.youkuaiyun.com/lvyuan1234/article/details/80112139
spring security CSRF 问题 Invalid CSRF Token 'null' was found on ......
热门推荐
哎幽的成长
02-13 3万+
1. 问题前面几篇博客 spring security在集成spring boot的微服务框架后,实现了cas认证和权限控制。但是在使用 postman 进行调用的时候出现这个问题HTTP Status 403-Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.然
Invalid CSRF Token(解决方案).md
08-30
Invalid CSRF Token(解决方案).md
报错:{‘csrf_token‘: [‘The CSRF token is missing.‘]}
m0_53291740的博客
01-22 596
flask实现一个简单的注册界面报错。来包含 CSRF 令牌。
HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header
爱我中华之笔耕不缀!
03-11 2156
平胸而论,开发中在下遇到403错误的机会还真是不多,但近日朋友遇到一个403错误,入下所示: HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'    这个错误是因为做了安全要求,项目采用的Spring 4.x Secu
HTTP Status 403 - Invalid CSRF Token ‘null‘ was found on the request parameter ‘_csrfor header解决方法
。。。。
08-02 2482
HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf' o...
笔记-PSOT请求报错:Invalid CSRF Token ‘null‘ was found on the request parameter ‘_csrf‘......
taotiezhengfeng的博客
10-23 1541
使用 postman 执行get请求正常,但执行 post 请求时报错: Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-XSRF-TOKEN'。本文分析原因,并给出解决方案
Invalid CSRF Token 'null' was found
大猴子
08-04 2885
在整合spring boot 和spring security的时候,用AJAX提交数据浏览器返回以下提示:responseText: ""timestamp":1501832200997,"status":403,"error":"Forbidden","message":"Invalid CSRF Token 'null' was found on the request parameter '
Spring Security 自定义登陆页面报HTTP Status 403 - Invalid CSRF Token 'null' was found on the request paramet
jxchallenger的专栏
02-28 8553
在表单中添加隐藏域 Spring Security默认启用CSRF 防御 官方原文: When should you use CSRF protection? Our recommendation is to use CSRF protection for any request that could be processed by a browser by
What is the best way to handle Invalid CSRF token found in the request when session times out in Spr...
weixin_33794672的博客
09-09 242
18.5.1 Timeouts One issue is that the expected CSRF token is stored in the HttpSession, so as soon as the HttpSession expires your configured AccessDeniedHandler will receive a InvalidCsrfTokenExcept...
swagger、postman调试接口需要登录,报403 Invalid CSRF Token null ....
qq_40883633的博客
09-20 8808
{ "timestamp": "2019-09-20T07:10:50.947+0000", "status": 403, "error": "Forbidden", "message": "Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-XSRF-TOKEN'.",...
java post 403_java – HTTP状态403 – 在请求参数上找到无效的CSRF令牌“null”
weixin_28825959的博客
02-16 925
我必须向我的restful服务发出HTTP.Post(Android App),以注册新用户!问题是,当我尝试向注册终端发出请求(没有安全性)时,Spring一直阻止我!我的项目依赖关系MysqL.connector.version>5.1.30MysqL.connector.version>春季安全调节器@RestController@RequestMapping(value="/w...
SpringSecurity文件上传 CSRF错误:Invalid CSRF Token 'null' was found on the request parameter '_csrf' or ..
liu911025的博客
06-22 3234
Spring Security CSRF,默认是开启。CSRF默认支持的方法: GET|HEAD|TRACE|OPTIONS,不支持POST。比较关键的一点是如果这个http请求是get方式发起的请求,意味着它只是访问服务器 的资源,仅仅只是查询,没有更新服务器的资源,所以对于这类请求,spring security的防御策略是允许的,如果这个请求是通过post请求发起的, 那么spring se...
invalid csrf token 问题解决
lepton126的专栏
09-06 2万+
该条消息意是指浏览器无法创建安全的cookie或者无法读取授权登录的cookie,应该是浏览器本身不允许设置cookies。 以下步骤可解决这个问题。 Chrome 打开Chrome的设置。 在隐私设置和安全性版块中,点击Cookies及其他网站数据。 下滑到始终能使用 Cookie 的网站并点击添加。 复制粘贴"[*.]example.com"并点击添加。 然后复制粘贴"[*.]test.net"并点击添加。 点击所有cookies和网站数据,搜索example或test,然后删除所有的相关条目。 重
Invalid CSRF token.
04-01
<think>好的,我现在需要解决用户遇到的“Invalid CSRF token”问题。首先,用户提到在Spring Security中,当会话超时时会出现这个问题,所以这可能涉及到CSRF令牌与会话关联的情况。 根据引用[1],当会话超时后,CSRF令牌可能已经失效,导致提交表单时令牌不匹配。这时,Spring Security默认会返回403错误,而不是让用户会话失效,这可能影响用户体验。用户可能需要处理这种情况,比如跳转到登录页面或者显示错误信息。 接下来,引用[2]中提到,可以通过禁用CSRF保护来避免这个问题,但这显然不安全,不推荐。另一种方法是在所有PATCH、POST、PUT和DELETE方法中包含CSRF令牌。例如,在表单中使用_csrf属性来获取当前令牌,确保每次提交都带有有效的令牌。这可能需要在客户端正确生成和传递令牌,特别是在会话更新时,比如登录后或超时后重新生成令牌。 引用[3]指出,Spring Security处理无效CSRF令牌的方式是返回403,但可以自定义处理方式,比如配置AccessDeniedHandler来处理InvalidCsrfTokenException,这样可以在令牌无效时执行特定操作,比如重定向到登录页面或显示友好的错误提示。 可能的解决方案包括:确保客户端在每次提交时都包含最新的CSRF令牌,特别是在会话超时后重新获取令牌;配置自定义的AccessDeniedHandler来处理异常;或者考虑在会话超时后刷新页面,让用户重新登录并生成新的令牌。 另外,需要检查前端代码是否正确嵌入了CSRF令牌。比如在Thymeleaf模板中,可以使用<input type="hidden" name="_csrf" th:value="${_csrf.token}"/>来自动添加令牌。如果使用AJAX请求,需要将令牌添加到请求头中。 还需要考虑会话管理设置,确保会话超时时间合理,并且在会话失效时,前端能够检测到并处理,比如弹出重新登录的提示,从而避免提交过期的令牌。 总结可能的解决步骤:1. 确保所有表单和请求正确包含CSRF令牌;2. 配置异常处理,自定义无效令牌时的响应;3. 前端处理会话超时,及时刷新令牌;4. 调整会话超时时间或提示用户保持活动状态。</think>为了解决Spring Security中出现的"Invalid CSRF token"错误,可以按照以下步骤进行排查和修复: ### 一、基础配置验证 1. **确保表单包含CSRF令牌** 在提交表单时必须携带`_csrf`参数。使用Thymeleaf模板时,会自动生成该字段: ```html <form ...> <input type="hidden" name="_csrf" th:value="${_csrf.token}"/> </form> ``` 若使用JSP,需显式添加: ```jsp <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/> ``` 2. **检查安全配置** 确认未禁用CSRF保护(禁用会降低安全性): ```java @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .csrf() // 必须保留此行 .and() ...其他配置; } } ``` ### 二、会话超时处理方案 当会话过期导致CSRF令牌失效时,可通过以下方式优化用户体验: 1. **自定义访问拒绝处理器** ```java http.exceptionHandling() .accessDeniedHandler((request, response, ex) -> { if (ex instanceof InvalidCsrfTokenException) { response.sendRedirect("/session-expired"); // 重定向到会话过期页面 } else { response.sendError(403, "Access Denied"); } }); ``` 2. **前端会话检测(JavaScript示例)** ```javascript // 检查会话状态 setInterval(() => { fetch('/check-session') .then(response => { if (response.status === 440) { // 自定义会话过期状态码 window.location.href = '/login?timeout=1'; } }) }, 300000); // 每5分钟检测一次 ``` ### 三、AJAX请求特殊处理 对于异步请求需要设置请求头: ```javascript var csrfToken = document.querySelector("meta[name='_csrf']").content; var csrfHeader = document.querySelector("meta[name='_csrf_header']").content; fetch('/api/data', { method: 'POST', headers: { [csrfHeader]: csrfToken, 'Content-Type': 'application/json' }, body: JSON.stringify(payload) }); ``` ### 四、配置建议 | 配置项 | 推荐 | 说明 | |-------------------------|-------------|----------------------------------------------------------------------| | session.timeout | 1800秒 | 会话有效期建议不超过30分钟[^1] | | csrf.token.ttl | 3600秒 | CSRF令牌有效期应长于会话时间 | | cookie.same-site | Lax | 防止CSRF攻击的Cookie策略 | ### 五、调试方法 1. 通过浏览器开发者工具检查网络请求是否携带`_csrf`参数 2. 查看服务端日志中的`InvalidCsrfTokenException`堆栈信息 3. 使用Postman测试时需手动添加CSRF令牌头
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值