Spring Security Ajax 被拦截

最新推荐文章于 2021-08-20 09:26:58 发布
最新推荐文章于 2021-08-20 09:26:58 发布
阅读量369 收藏 1
点赞数
分类专栏: 前端 文章标签: 碎片随笔库 spring security ajax
原文链接:https://www.mk2048.com/blog/blog.php?id=hb0j2h0ihjaa&title=Spring+Security+Ajax+%E8%A2%AB%E6%8B%A6%E6%88%AA
版权
本文介绍如何解决SpringSecurity框架在使用Ajax POST请求时出现的403错误,通过在页面头部添加CSRF令牌,并在Ajax调用前设置请求头,确保安全控制的同时避免误拦截。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

背景是项目中使用Spring Security 进行安全控制

再使用Ajax的时候会报 403(ajax get  方式是没问题的 post 的时候会报)

Spring Security 原本是 防止 CSRF 攻击 现在 ajax 被误伤了...

然后下面贴解决方法,页面的head标签里 下记追加

(这里要说的是用的是thymeleaf模板 所有才会有 th:如果是jsp的话使用EL表达式吧th:去掉就能用了)

<meta name="_csrf" th:content="${_csrf.token}"/>
<meta name="_csrf_header"  th:content="${_csrf.headerName}"/>

然后用js取值

var header = $("meta[name='_csrf_header']").attr("content");
var token =$("meta[name='_csrf']").attr("content");

ajax中调用使用,其他和通常一样 beforeSend 里写下如下就可以了

        $.ajax({
            url : "",
            type : "POST",
            data : "",
            contentType : 'application/json;charset=utf-8',
            //async : false,
            beforeSend : function(xhr) {
                xhr.setRequestHeader(header, token);
            }, 
            success : function(resdata) {},
            error : function(xhr, ajaxOptions, throwError) { }
       });

更多专业前端知识,请上 【猿2048】www.mk2048.com
SpringSecurity自定义登录返回值
雾林小妖的博客
12-01 121
Springboot中使用SpringSecurity实现用户登录,登录成功后自定义返回数据,及获取自定义值的方式
security放行 spirng_Spring security放行post接口失败,CsrfFilter又给拦截
weixin_33737167的博客
12-29 2836
image403错误都是资源权限的问题,从上述图看到/v3/**所有请求都Ok,所有的get请求也都ok,而不带v3的post请求报出403错误在SpringBoot+springSecurity+Thymeleaf中springSecurity设置拦截规则,他将会对所有http请求以及所有静态资源进行拦截,但是很多时候一些静态资源以及http请求我们并不希望他进行拦截,这时候可以在webSecu...
spring 拦截ajax,spring security spring mvc ajax 请求 controller 被拦截
weixin_34687748的博客
08-06 119
你是烦恼在spring security中怎么进行ajax请求吧。一般的ajax请求在Spring Security中是被forbidden的,因为请求的时候csrf这个token为null。官方提供了一个解决办法,参考官方文档http://docs.spring.io/spring-security/site/docs/3.2.0.CI-SNAPSHOT/reference/html/csrf....
spring security 3中关于ajax的处理
jackyrongvip的专栏
01-16 221
spring security 3中,对于某些需要保护的url,可以很容易地实现当没权限的时候, redirect到一个页面(比如自定义的404.jsp页面)进行显示没权限的信息; 但有的时候,必须要对一些AJAX的请求url也同时判断其是否有权限输出; 如果没权限的话,一般要以JSON的方式返回给用户端,比如弹出一个提示框,显示没权限; 在SPRING security 3中...
Django用ajax发送post请求时csrf拦截的解决方案
weixinhmz的博客
08-20 211
Django用ajax发送post请求时csrf拦截的解决方案
AJAX以及跨域情况下POST请求出现CSRF问题的解决方案
Blossom
03-07 5606
CSRF是什么? AJAX中处理CSRF的解决方案 系统和环境描述: JSP页面 AJAX POST请求 Spring Boot开启Security(会自动开启CSRF机制) 请求出现403问题 简单的禁用CSRF 在继承了WebSecurityConfigurerAdapter的Spring管理类的configure方法中加入http.csrf().disable()代码即可...
Ajax登陆使用Spring Security缓存跳转到登陆前的链接
10-17
当用户访问受保护的资源时,Spring Security拦截请求并进行认证。如果用户未认证,则会被重定向到登录页面。用户提交用户名和密码后,系统进行认证,认证成功后,会进行授权判断,如果用户拥有足够权限,则可以...
spring security ajax请求与html共存
03-23
当一个Ajax请求被发送时,它会被Spring Security的过滤链所拦截,遵循相同的认证和授权流程。为了区分Ajax和非Ajax请求,我们可以使用`@Secured`或`@PreAuthorize`注解,或者自定义访问决策管理器。 3. **配置Ajax...
基于Spring Security的JWT实现登录认证及多账号登录互斥设计源码
10-09
XML配置文件主要负责Spring Security相关的配置,这些配置定义了安全拦截规则、过滤器链以及认证管理器等。Git忽略文件则用于管理版本控制过程中应忽略的文件类型,保证项目的整洁和重要配置的版本控制。 具体到...
SpringBoot+SpringSecurity处理Ajax登录请求问题(推荐)
08-28
主要介绍了SpringBoot+SpringSecurity处理Ajax登录请求问题,本文给大家介绍的非常不错,具有参考借鉴价值,需要的朋友可以参考下
154.Ajax处理csrf防御
zjy123078_zjy的博客
02-22 280
在普通的form表单中采用post请求提交数据,可以在form表单的method=post的form标签下面,添加一个csrf_token标签{% csrf_token %},或者是直接手动的添加一个input标签,<input type=‘text’ name=‘csrfmiddlewaretoken value=’{{ csrf_token }}’>,都可以在form表单中做好cs...
Spring Boot使用Spring Security遇到的问题
x805111268的博客
11-17 1116
Spring Boot使用Spring Security遇到的问题 定制首页,从数据中直接取数据校验遇到的一些坑。 首先引入依赖Spring Security的依赖。 1. ajax请求被拦截 ajax请求发送成功,返回错误代码403。 解决方案1: 在html头添加: <meta name="_csrf" th:content="${_csrf.token}"/> <meta name="_csrf_header" th:content="${_csrf.headerName}"
springsecurity拦截ajax,Spring Security Ajax拦截
weixin_39614546的博客
08-05 588
背景是项目中使用Spring Security 进行安全控制再使用Ajax的时候会报 403(ajax get 方式是没问题的 post 的时候会报)Spring Security 原本是 防止 CSRF 攻击 现在 ajax 被误伤了...然后下面贴解决方法,页面的head标签里 下记追加(这里要说的是用的是thymeleaf模板 所有才会有 th:如果是jsp的话使用EL表达式吧th:去掉就...
Spring Security Ajax拦截(404 NotFound) 解决方案
ShowMe
11-23 1196
核心代码段 beforeSend: function(request) { request.setRequestHeader("${_csrf.headerName}", "${_csrf.token}"); } 示例段 $.ajax({ type: "GET", url: "${AppRootPa...
Spring security拦截Ajax post请求
qq_41762571的博客
02-25 1009
Spring Security 进行安全控制 使用Ajax的时候会报 403(ajax get 方式是没问题的 post 的时候会报) Spring Security 原本是 防止 CSRF 攻击 现在 ajax 被误伤了... 如果是form表单用Ajax提交 方法一: <form class="form-horizontal"th:action="@{/user}" met...
使用spring secrity的时候ajax请求被拦截
这天有点热的博客
07-26 1059
背景是项目中使用Spring Security 进行安全控制 再使用Ajax的时候会报 403(ajax get  方式是没问题的 post 的时候会报) Spring Security 原本是 防止 CSRF 攻击 现在 ajax 被误伤了... 然后下面贴解决方法,页面的head标签里 下记追加 (这里要说的是用的是thymeleaf模板 所有才会有 th:如果是jsp的话使用EL表达...
springSecurity配置拦截请求
最新发布
01-25
### 如何使用 Spring Security 配置拦截 HTTP 请求 #### 使用 Java Config 方式配置 Web 安全 为了实现对特定 URL 的访问控制,可以通过重写 `WebSecurityConfigurerAdapter` 类中的方法来进行自定义配置。下面展示的是如何创建一个名为 `SpringSecurityConfig` 的类来设置哪些路径可以被忽略以及如何保护其他资源。 ```java import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; @Configuration @EnableWebSecurity public class SpringSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/js/**", "/css/**", "/images/**").permitAll() // 允许静态文件免认证访问 .anyRequest().authenticated(); // 所有其它请求都需要身份验证 http.formLogin(); // 启用表单登录方式 } @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers("/static/**"); // 忽略指定目录下的所有请求 } } ``` 上述代码片段展示了如何通过覆盖默认行为来自定义安全策略[^3]。这里设置了 `/js`, `/css`, 和 `/images` 下的所有资源无需经过身份验证即可访问;而任何未特别指明的请求则需先完成用户认证过程才能继续执行下去。 对于 AJAX 请求来说,在某些情况下可能会遇到跨域资源共享 (CORS) 或者预检请求等问题。如果应用程序依赖于 JSON 数据交换,则应考虑调整 CORS 设置并确保正确处理 OPTIONS 方法等预飞行请求[^2]。 另外值得注意的一点是在实际项目开发过程中还可以利用内置接口如 `HttpFirewall` 来增强系统的安全性,防止恶意构造的URL攻击[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值