boke练习: springboot整合springSecurity出现的问题,post,delete,put无法使用

最新推荐文章于 2024-09-11 17:00:06 发布
最新推荐文章于 2024-09-11 17:00:06 发布
阅读量310 收藏
点赞数
文章标签: java
本文详细介绍了在SpringBoot项目中整合SpringSecurity后的CSRF防御策略。包括如何在POST、DELETE和PUT请求中添加CSRF token,以及解决CSRF开启后logout功能失效的问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

springboot 与 SpringSecurity整合后,为了防御csrf攻击,只有GET|OPTIONS|HEAD|TRACE|CONNECTION可以通过。

其他方法请求时,需要有token

解决方法:

1,支持post的方法:

      1,如果使用freemarker模板

      在form里添加<input type="hidden" name="${_csrf.parameterName}" value="_csrf.token">

      2,使用ajax时

       $.ajax({

         url:"/manager",

        type:"POST",

        data:{

              "${_csrf.parameterName}":"${_csrf.token}",

              //其他的数据       

 

         }

         })

2,支持delete,put的方法:

在支持post的基础上,

$.ajax({

         url:"/manager",

        type:"POST",

        data:{

              "${_csrf.parameterName}":"${_csrf.token}",

             _method:"DELETE",   /添加了这个,在后端就可以使用delete方法接收请求了,实现restful

              //其他的数据       

 

         }

         })

 

 二、当开启CSRF后,原来以Get方式,调用/logout,退出登录状态的功能失效了,跳转后报404错误。

         1、查看源码,发现框架方法里做了备注。大概意思就是开启CSRF后,logout方法需要以post方式提交。或者调用logoutRequestMatcher方法,显示设置/logout请求为GET方法

2、用logoutRequestMatcher设置logout为get请求来解决404报错问题。POST方式比较简单这里就不在赘述。当然,实际项目中,最好选择以post方式退出系统。

http
         .formLogin().loginPage("/user/login.do")
         .defaultSuccessUrl("/free/list.do")//启用FORM登录
        .and().logout().logoutRequestMatcher(new AntPathRequestMatcher("/logout","GET"))

  

至此CSRF防止方案示例就讲完了。在项目中,对于post请求都需要注意提交_csrf到服务端。希望对你有所帮助,欢迎留言交流。

_miccretti
关注
SpringBoot整合富文本编辑器Editor
jjaavvaa
11-30 2364
1.前言 富文本编辑器的整合是一件十分简单的事情,在遇到困难时,不妨看看editor文件夹中的官方演示文件,可以让我们知道某些过程是如何实现的以及通过最简练的代码完成前后端的设计 (在文件的examples文件夹中有着许多测试页面,可以参照着这些页面完成富文本框的搭建) 2.下载Editor源代码 3.搭建SpringBoot工程,导入依赖 这里比较核心的依赖是fastjson 与数据库交互的一些依赖就自行导入了,这次的工程是分布式工程,clint层和sever层是...
SpringBoot整合RabbitMQ
w2144217940的博客
04-08 398
随后启动启动类就会生成Exchanges、Queues及二者的绑定关系,有routingKey来连接。
如何解决SpringBoot的@DeleteMapping注解的方法不被调用
zavier的乌托邦
03-14 4183
如何解决SpringBoot的@DeleteMapping注解的方法不被调用(version2.2.4)
springsecurity开启csrf拦截axios的post,put,delete请求的解决方案
GuiBing_haonan的博客
04-14 1244
首先,查找原因: 从Spring Security3.2开始,默认就会启用CSRF攻击。   Spring Security通过一个同步token的方式来实现CSRF防护。它会拦截状态变化的请求并检查CSRF token。如果请求不包含CSRF token,或token不能与服务器端的token相匹配,请求将会失败,并抛出CsrfException。 本文主要讲解的是基于springboot框架的解决方案 thymeleaf模板中,在您需要发送请求的表单加上隐藏的input: <input type=
spring security 拦截了post put delete 请求 ,解决方案
july_young的博客
09-03 5548
使用spring security 做的安全框架时,会自动拦截postputdelete等请求,这时因为spring security 开启了防止跨域访问攻击的配置,那么怎么解决呢?请往下看: 我使用了thymeleaf在网页的head中添加: &lt;meta name="_csrf" th:content="${_csrf.token}"/&gt; ...
GET请求不安全的解决办法
weixin_36338164的博客
03-17 5546
此前在做一个项目时遇到GET请求路径被截获后引发项目组的担忧,此后通过文章所介绍的方法做了有效处理。先描述下问题,我们公司给客户开发项目,要用到微信公众号,然而公众号是由第三方公司维护,所以我们做微信的网页授权想获得用户的openid ,就必须请求到第三方,第三方代替我们做网页授权,最后第三方再把微信的openid 通过GET方式传给我们,问题恰恰就出现在最后的GET请求上。例如,GET路径是这样...
springsecurity vue结合thymeleaf怎么能够获取${_csrf.parameterName}与${_csrf.token}
weixin_46564011的博客
07-06 762
因为vue中不允许使用${} 所以你是怎么都获取不到的,还有就是你就算在vue中用let x=json转换出来了thymeleaf他已经渲染完毕了你还是获取不到${_csrf.parameterName}与${_csrf.token}你可以这样在html中让他在thymeleaf渲染时先获取了值放到这里,因为我是前后端分离所以表单在js中写着你是没办法直接扔进表单中的 然后在js中你这样写 头顶先定义let变量然后传进去 千万不要在input中 加th:name不然你还是登陆失败 你要直接写name 与va
springboot-boke个人博客系统
07-25
使用springboot和mybatis重构,加深对框架的理解,原本使用的是轻量级的mvc框架Blade。 模板引擎改用thymeleaf 实现docker服务部署mysql,tomcat,redis,mongdb并管理和Nginx反向代理 切换数据源为druid,正式上线后...
springboot+MyBatis-Plus中整合OSS中图片的存储
qq_68589304的博客
09-11 1381
在现代应用中,图片存储和管理是一个常见需求。阿里云对象存储服务(OSS)提供了高效、安全、可靠的图片存储解决方案。本文将详细介绍如何在OSS中存储图片,包括上传、管理和处理图片的步骤。
基于Spring Boot 2.2.6.RELEASE与Spring Cloud Hoxton.SR6的Zyg-Boke设计源码
最新发布
10-05
该项目为基于Spring Boot 2.2.6.RELEASE和Spring Cloud Hoxton.SR6框架构建的Zyg-Boke博客系统源码,整合了Spring Cloud Gateway 2.2.7.RELEASE、Nacos 2.1.4.RELEASE和Spring Security等组件。项目文件共计400个,...
AJAX以及跨域情况下POST请求出现CSRF问题的解决方案
Blossom
03-07 5720
CSRF是什么? AJAX中处理CSRF的解决方案 系统和环境描述: JSP页面 AJAX POST请求 Spring Boot开启Security(会自动开启CSRF机制) 请求出现403问题 简单的禁用CSRF 在继承了WebSecurityConfigurerAdapter的Spring管理类的configure方法中加入http.csrf().disable()代码即可...
使用Spring Security和Thymeleaf进行CSRF保护
allway2的博客
11-05 1087
是一个Java模板引擎,用于处理和创建HTML,XML,JavaScript,CSS和纯文本。发送请求时,Spring 会将生成的令牌与存储在会话中的令牌进行比较,以确认用户没有被黑客入侵。CSRF 是一种攻击,它强制最终用户在当前经过身份验证的 Web 应用程序中执行不需要的操作。在本文中,我们将讨论如何使用Thymeleaf应用程序在Spring MVC中。由于缺少CSRF令牌,第一个测试将导致禁止状态,而第二个测试将正确执行。我们的请求被拒绝,因为我们发送的请求没有 CSRF 令牌。
springboot整合springSecurity出现的问题post,delete,put无法使用
sugar-foxs
06-19 3073
springbootSpringSecurity整合后,为了防御csrf攻击,只有GET|OPTIONS|HEAD|TRACE|CONNECTION可以通过。 其他方法请求时,需要有token 解决方法: 1,支持post的方法:       1,如果使用freemarker模板       在form里添加       2,使用ajax时        $.ajax({
解决SpringSecurity阻止ajax的POSTPUT请求,导致403Forbidden的问题
weixin_30852419的博客
03-15 1625
前言: 最近在整合springboot+springsecurity,在PUT请求的时候出现了403的问题,这里记录一下解决的过程 到Spring的官网去查查SpringSecurity的参考手册看看为什么会有403的问题 官网是这样解释问题SpringSecurity默认是禁止接收POST请求的,而GET是默认可以的,官网给出两个解决方案:1是发送请求时带上CSRF的token,2是...
springboot用户信息删除(delete方式)
热门推荐
鲸鱼姐的专栏
05-06 1万+
需求:用户信息删除操作 需要源码,请加微信号,进技术交流群,发送springboot102,免费获取此文章源码。 具体步骤: 1. userlist.html 页面内容如下 <!DOCTYPE html> <html lang="en" xmlns:th="http://www.thymeleaf.org"> <head> <me...
postman测试deleteput,出现Request method 'DELETE' not supported,Request method 'PUT' not supported
weixin_43187491的博客
09-03 4542
postman测试后台数据,传入id,点完Send idea控制台出现 Request method ‘DELETE’ not supported(百度翻译:不支持请求方法DELETE), 2.controlle里面是这样写 3.代码检查完了没发现什么问题,试了试把{cityId}前面的 / 删除了,启动idea,postman测试发现测试成功了,测试完成之后又把 / 加上了再测试发现还能...
springboot springmvc拦截器 拦截POSTPUTDELETE请求参数和响应数据,并记录操作日志...
weixin_30898109的博客
05-19 1688
1.操作日志实体类 @Document(collection = "operation_log") @Getter @Setter @ToString public class OperationLog extends BaseEntityWithId { private String userId; // 操作人 private String resource; // ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值