Spring security开启csrf后,一直403并且无法获取csrftoken

最新推荐文章于 2023-10-25 09:32:31 发布
原创 最新推荐文章于 2023-10-25 09:32:31 发布 · 2.4k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了解决后端配置中CSRF Token无法获取的问题,通过设置CookieCsrfTokenRepository的http-only属性为false,使得CSRF Token可以被前端访问。

后端的配置代码中增加

.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())

要将http-only设置为false才可以获取
在这里插入图片描述
这样就成功了

SpringSecurity(10)——Csrf防护
peng_gx的博客
01-20 2725
SpringSecurity Csrf防护
十七、Spring SecurityCSRF
booker009的博客
03-17 265
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack” 或者Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。跨域:只要网络协议,ip地址,端口中任何一个不相同就是跨域请求。客户端与服务进行交互时,由于http协议本身是无状态协议,所以引入了cookie进行记录客户端身份。在cookie中会存放session id用来识别客户端身份的。
SpringSecurity 登录页面无法获取CSRF令牌的解决方法
oqqLai123456的博客
03-21 3005
捡重要的说 配置说明:项目是基于maven+springMVC+springSecurity的,maven、web.xml和springmvc具体配置可以百度,具体说下springsecurity.xml的配置,<http pattern="/init" security="none"/> <http pattern="/login" security="none"/><http auto-con
Spring Security开启CSRF解决403 Forbidden问题
weixin_43404791的博客
04-25 3718
这个问题由来已久啊,从前后端交互开始就碰到这个问题,当然这个原因是因为Spring Security在默认情况下开启了防CSRF(跨站点请求伪造) 解决: 1. 关闭CSRF http.csrf().disable().authorizeRequests(); 关闭CSRF过滤器的验证会给网站带来一定被攻击的风险,因此大部分情况下,都不建议关闭这个功能. 2. 开启CSRF...
CSRF中为什么攻击方无法获取到token
weixin_43280025的博客
02-23 1597
CSRF
Spring Security4配置CSRF问题记录
bigger_bug的博客
01-04 820
spring security4默认是开启csrf的,所以在登陆页面需要添加<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>如上,可以获取csrf的token值,但是,一般情况下我们都会将登录页的安全配置为none,这样的话登录页面就不属于security的管理范围之内了,所以就会导致在登录页面无
SpringSecurity前后端分离授权
风间琉璃の博客
06-07 838
SpringSecurity中,默认使用FilterSecurityInterceptor来进行权限校验。在FilterSecurityInterceptor中会从获取其中的,然后获取其中的权限信息。判断当前用户是否包含访问资源的权限。因此需要将权限信息存入,然后对资源设置相应的访问权限。开启配置:类中添加如下注解: 限权访问:判断当前用户是否拥有某权限。 1.2.2 封装权限信息 修改登录服务,给定一个固定权限集合来模拟: 修改类,让SpringSecurity内部可以获取权限信息。
详解利用spring-security解决CSRF问题
08-27
详解利用Spring Security解决CSRF问题 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF是一种常见的Web攻击方式,它可以在用户...
详解如何在spring boot中使用spring security防止CSRF攻击
08-27
Spring Boot 中使用 Spring Security 防止 CSRF 攻击 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。CSRF 攻击可以盗用用户的...
【深入浅出 Spring Security(八)】前后端分离-使用CSRF漏洞保护详讲
qq_63691275的博客
06-11 4950
前后端分离使用 CSRF 漏洞保护,首先是得从 Cookie 中获取对应的 xsrf(即csrf)令牌信息,享受服务器端的服务需要在请求参数中或者请求头中配置这个令牌信息(这里请求方式不包括GET、HEAD、OPTIONS、TRACE,如果是这四个请求方式,过滤器会直接放行),请求参数中配置名为_csrf,值是令牌信息;请求头的话配置名是X-XSRF-TOKEN,值是令牌信息。这样在一定程度上就提高了系统的安全性,不刻意去搞的话,这种方式很大程度上防御了跨站请求伪造(CSRF)。
securityspring security放行不生效,security放行后还是被拦截,路径变成了/error,security匿名用户无法访问
热门推荐
孟秋与你的博客
05-13 2万+
文章目录security最初的配置初步改进后的配置排查真实原因更加合理的配置 之前写了篇关于security认证的文章 感觉对security了解多了一点,直到遇到过滤器层面的问题,才明白security终究还是那个复杂的securitysecurity最初的配置 @Configuration public class SecuritySecureConfig extends WebSecurityConfigurerAdapter { @Override protected voi
Spring Security - CookieCsrfTokenRepository.withHttpOnlyFalse() 模板
m0_56231256的博客
11-29 934
Spring Security - CookieCsrfTokenRepository.withHttpOnlyFalse() 模板
detail: “CSRF Failed: CSRF token missing or incorrect 问题解决方法
qq_28401855的博客
06-19 2273
CSRF Failed: CSRF token missing or incorrect
图片上传报错 Invalid CSRF Token 'null' was found on the request parameter 'csrf' or header 'x-xsrf-token'
luckyboy198961的博客
03-22 2713
文件上传csrftoken获取不到 <!DOCTYPE html><html><head><title>Apache Tomcat/8.5.6 - Error report</title><style type="text/css">H1 {font-family:Tahoma,Arial,sans-serif;col...
Spring Boot整合Spring Security(三)csrf
时雨吹雪的博客
01-30 2304
Spring Securitycsrf防护功能的使用,模板引擎以及接口方式获取csrfToken
AJAX以及跨域情况下POST请求出现CSRF问题的解决方案
Blossom
03-07 5886
CSRF是什么? AJAX中处理CSRF的解决方案 系统和环境描述: JSP页面 AJAX POST请求 Spring Boot开启Security(会自动开启CSRF机制) 请求出现403问题 简单的禁用CSRF 在继承了WebSecurityConfigurerAdapter的Spring管理类的configure方法中加入http.csrf().disable()代码即可...
Spring Security —漏洞防护—跨站请求伪造(CSRF
深圳市多克创新科技有限公司
10-25 1395
Spring Security —漏洞防护—跨站请求伪造(CSRF
前后端分离使用 CSRF
Leon_Jinhai_Sun的博客
05-23 786
前后端分离开发时,只需要将生成 csrf 放入到cookie 中,并在请求时获取 cookie 中令牌信息进行提交即可。 修改 CSRF 存入 Cookie @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { htt
SpringSecurityCSRF漏洞保护
Littewood的博客
07-24 1799
SpringSecurityCSRF漏洞保护
Spring Security CSRF防御详解与实现
Spring SecurityCSRF防御机制主要通过添加一个随机的CSRF令牌(CSRF Token)来实现。当用户在一个受保护的页面上进行操作时,服务器会在响应中包含一个隐藏的CSRF令牌,这个令牌通常作为HTTP头或URL参数的一部分。...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值