spring-security 前后分离如何获取csrf-token

已于 2022-02-16 18:10:36 修改
阅读量4.5k 收藏 1
点赞数 2
分类专栏: springboot 文章标签: csrf springboot
于 2022-02-16 18:05:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/n_rts/article/details/122968829
版权

springboot整合security,默认情况下csrf是开启状态,这时候发起post请求可能会遭遇4xx

如果不在乎csrf攻击,简单处理

http.csrf().disable();

如果不关闭csrf,就需要前端获取到csrf-token,在发起post请求时传递给后端

默认在登陆页会返回_csrf,post请求需要在header添加X-CSRF-TOKEN

参看:org.springframework.security.web.csrf.HttpSessionCsrfTokenRepository

对于服务器页面可以采用参数注入的方式获取token,这样

<input type='hidden' name='${_csrf.parameterName}' value='${_csrf.token}' />

或者这样

对于前后端分离的系统,可以将token放在cookie中(XSRF-TOKEN),在发起post请求时,通过js从cookie中获取到token,然后在header中添加属性X-XSRF-TOKEN

参看:org.springframework.security.web.csrf.CookieCsrfTokenRepository

http.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());

前后分离解决CSRF问题
ws_flying的博客
10-22 3517
个人记录,如有错误,敬请指出 项目环境:spring boot+shiro+jwt 简单方式直接通过nginx对Referer进行校验拦截即可,本文不做讲解 1、创建CsrfFilter import org.springframework.web.filter.OncePerRequestFilter; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.ht
SpringSecurity-前后分离
LiuYuHao_的博客
01-16 972
try {// 设置当前线程的安全上下文。
详解利用spring-security解决CSRF问题扫码查看CSRF介绍
dpp10683401的博客
05-30 1367
CSRF介绍 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 具体SCRF的介绍和攻击方式请参看百度百科的介绍和一位大牛的分析:CSRF百度百科浅谈CSRF攻击方式 配置步骤 1.依赖jar包 <properties> <spring.security.version>4.2.2.RELEASE</spring.s
SpringSecurity——前后分离登录认证
最新发布
gege_0606的博客
03-21 913
Spring Security 中,退出操作(logout)的设计逻辑与登录有所不同。登录过程涉及用户凭证验证、状态检查和密码匹配等环节,这些都有可能失败,所以需要提供失败处理器(如登录失败处理器)。前后分离:Nginx 【Vue】 <----jwt----> Tomcat 【 (controller、sucurity) 】三个里面有任何一个不同,都是跨域,跨域是浏览器不允许的,浏览器是为了安全,不允许你跨域访问。从数据库中加载用户信息,返回一个包含用户状态和权限信息的。service实现类。
前后分离 使用spring securitycsrf
qq_44989936的博客
09-01 1737
导读:读者可以先看一下CsrfFilter类,token作用于所有post,即使没有登陆 CsrfFilter 逻辑如下: ①熟悉基本类 CsrfToken 保存了token public interface CsrfToken extends Serializable { String getHeaderName(); String getParameterName(); String getToken(); } CsrfTokenRepository 就是一个csrfto
【笔记】Python3|爬虫请求 CSRF-Token 时如何获取TokenToken过期、处理 CSRF-Token 需要注意的问题及示例
热门推荐
shandianchengzi的博客
03-19 1万+
注意CSRF-Token可能也在响应头中,以及requests请求的时候要用Session,不然就会过期。
【深入浅出 Spring Security(八)】前后分离-使用CSRF漏洞保护详讲
qq_63691275的博客
06-11 4587
前后分离使用 CSRF 漏洞保护,首先是得从 Cookie 中获取对应的 xsrf(即csrf)令牌信息,享受服务器端的服务需要在请求参数中或者请求头中配置这个令牌信息(这里请求方式不包括GET、HEAD、OPTIONS、TRACE,如果是这四个请求方式,过滤器会直接放行),请求参数中配置名为_csrf,值是令牌信息;请求头的话配置名是X-XSRF-TOKEN,值是令牌信息。这样在一定程度上就提高了系统的安全性,不刻意去搞的话,这种方式很大程度上防御了跨站请求伪造(CSRF)。
laravel框架下 前后分离开发时 通过AJax请求单独获取加密后的csrf_token
回头是岸
11-10 5472
后端对post的请求都会校验CSRF,(只有在路由的middleware中设置了[csrf]时才会在客户端的cookie中产上一个XSRF-TOKEN),由于前面这个情况 是没有经过含有 csrf的middleware校验 所以在客户端没有XSRF-TOKEN,但是在这个页面提交表单的时候又需要验证csrf,所以必须要单独获取这个token
spring-security-ng-cors:使用 spring-security-csrf-token-interceptor 演示 CORS 问题的示例
07-03
在这个名为 "spring-security-ng-cors" 的项目中,我们将探讨如何使用 `spring-security-csrf-token-interceptor` 解决CORS问题,以便在前后分离的应用架构中实现跨域安全访问。 CORS 是一种允许服务器放宽同源...
详解利用spring-security解决CSRF问题
08-27
详解利用Spring Security解决CSRF问题 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF是一种常见的Web攻击方式,它可以在用户...
spring-boot spring-security-oauth2 完整demo
11-22
本篇文章将围绕“spring-boot spring-security-oauth2 完整demo”这一主题,详细阐述这三个框架如何协同工作,以及如何通过类似微信的方式获取token并访问资源。 首先,Spring Boot是基于Spring框架的快速开发工具...
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
在IT行业中,Spring Boot和Spring Security是两个非常重要的框架,它们在构建现代Web应用程序时起着核心作用。JWT(Json Web Token)则是一种安全的身份验证机制,被广泛应用于微服务架构和API授权。本篇文章将深入...
Python开发【Django】:中间件、CSRF
abchhcba2014的博客
02-04 354
CSRF 1、概述   CSRF(Cross Site Request Forgery)跨站点伪造请求,举例来讲,某个恶意的网站上有一个指向你的网站的链接,如果某个用户已经登录到你的网站上了,那么当这个用户点击这个恶意网站上的那个链接时,就会向你的网站发来一个请求,你的网站会以为这个请求是用户自己发来的,其实呢,这个请求是那个恶意网站伪造的。   为了避免上面情况的出现,Djang...
django的前后分离csrf_token加入
weixin_44854778的博客
03-13 306
1 手动调用 csrf 中的 get_token(request) 或 rotate_token(request) 方法。 from django.middleware.csrf import get_token ,rotate_token def server(request): # 两者选一 get_token(request) # rotate_token(request) // 此方法每次设置新的cookies return render(req
SpringSecurity前后分离授权
风间琉璃の博客
06-07 778
SpringSecurity中,默认使用FilterSecurityInterceptor来进行权限校验。在FilterSecurityInterceptor中会从获取其中的,然后获取其中的权限信息。判断当前用户是否包含访问资源的权限。因此需要将权限信息存入,然后对资源设置相应的访问权限。开启配置:类中添加如下注解: 限权访问:判断当前用户是否拥有某权限。 1.2.2 封装权限信息 修改登录服务,给定一个固定权限集合来模拟: 修改类,让SpringSecurity内部可以获取权限信息。
Spring Boot整合Spring Security(三)csrf
时雨吹雪的博客
01-30 2206
Spring Securitycsrf防护功能的使用,模板引擎以及接口方式获取csrfToken
Spring Security CSRF
诗人不写诗
09-15 544
Spring Security 4.0之后,引入了CSRF,默认是开启。不得不说,CSRF和RESTful技术有冲突。 CSRF默认支持的方法: GET|HEAD|TRACE|OPTIONS,不支持POST。 需要站点受到CSRF的保护,同时可以对外提供的REST服务,就需要开出一个隧道来。 1)如果这个http请求是通过get方式发起的请求,意味着它只是访问服务器 的资源,仅仅只是查询,没...
如何在前后分离项目中,使用Spring Security
繁依Fanyi的博客
08-08 1080
使用 WebSecurityConfigurationAdapter 在前后分离的架构中,通常使用 Token 进行认证和授权是一种常见的做法。Token 可以是 JSON Web Token(JWT),用于在客户端和服务器之间传递身份信息和访问控制信息。下面我将详细介绍如何在 Spring Boot 后端和 Vue 前端应用中使用 Token(JWT)来实现认证和授权。 后端(Spring Boot + Spring Security + JWT) 1. 添加依赖 首先,确保在你的 Spring Boo
SpringSecurityCSRF
ybb_ymm的专栏
04-15 1360
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已 登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

n_rts

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值