后端SpringSecurity+vue前端axios+uni-app解决跨站点请求伪造CSRF

最新推荐文章于 2025-06-02 19:02:29 发布
最新推荐文章于 2025-06-02 19:02:29 发布
阅读量1.2k 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42739423/article/details/107114700
版权
本文详细介绍了SpringSecurity的配置方法,包括如何通过CookieCsrfTokenRepository设置CSRF保护,以及如何在Vue中配置axios以支持跨域并设置访问权限。此外,还探讨了在uni-app中如何配置CSRF,以及如何根据不同环境调整CSRF设置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.1.SpringSecurity配置,public class SecurityConfig extends WebSecurityConfigurerAdapter

 @Override
    protected void configure(HttpSecurity http) throws Exception {
     //code...
     http.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
    }

2.vue组件axios,config.js,默认支持也可以不配置

axios.defaults.withCredentials = true // 设置cross跨域,并设置访问权限,允许跨域
axios.defaults.crossDomain = true
axios.defaults.headers.post['Content-Type'] = 'application/json;charset=utf-8' // 设置post请求头
axios.defaults.headers.put['Content-Type'] = 'application/json;charset=utf-8' // 设置post请求头
axios.defaults.timeout = 60000 // 请求超时响应
axios.defaults.responseType = 'json' // 请求超时响应
axios.defaults.xsrfCookieName = 'XSRF-TOKEN'
axios.defaults.xsrfHeaderName = 'X-XSRF-TOKEN'

3.小程序请求框架为uni-app,由于不带cookie,可以配置CSRF小程序路径放开,小程序接口统一放在/miniapi路径下,对小程序统一鉴权有兴趣的我可以再写一篇

4.csrf按请求路径URL过滤,AntPathRequestMatcher实现/miniapi路径下请求不进行拦截

 @Override
    protected void configure(HttpSecurity http) throws Exception {
     //code...
     http.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
http.csrf().requireCsrfProtectionMatcher(new CsrfSecurityRequestMatcher());
    }

public class CsrfSecurityRequestMatcher  implements RequestMatcher{
	private Pattern allowedMethods = Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$");
	private AntPathRequestMatcher antPathRequestMatcher=new AntPathRequestMatcher("/miniapi/**");

	@Override
	public boolean matches(HttpServletRequest request) {
		if(allowedMethods.matcher(request.getMethod()).matches()){
			return false;
		}
		boolean b = !antPathRequestMatcher.matches(request);
		return b;
	}
}

5.多环境支持
跨域只是为了保证生产环境安全,开发环境为了方便swagger使用和自动化测试,可以配置不开启

csrf: false

    @Value("${csrf}")
    private Boolean csrf;

  // 启用CSRF
        if(csrf){
            http.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
            http.csrf().requireCsrfProtectionMatcher(new CsrfSecurityRequestMatcher());
        }else {
            http.csrf().disable();
        }
无相禅师
关注
GitHub Copilot:让编码更高效的自动完成工具
VnReact的博客
09-20 441
总而言之,GitHub Copilot是一款强大的自动完成式建议工具,它利用机器学习算法和大量的开源代码来帮助开发人员编写代码。值得注意的是,尽管GitHub Copilot在提供代码建议方面非常强大和智能,但它并不是完美的。它能够根据我们的输入和上下文,推断我们想要进行的操作,并生成相应的代码。它可以为我们提供函数和方法的名称建议,为我们提供快速的代码片段,甚至可以帮助我们调试和修复错误。接下来,当我们输入"““计算两个数字的和””"时,GitHub Copilot会自动为我们生成函数的文档注释。
愚公系列】《循序渐进Vue.js 3.x前端开发实践》008-Vue 模板应用:实现待办任务列表应用
时光隧道
08-22 4万+
在日常生活中,待办任务列表是我们管理时间和提升效率的重要工具。而在前端开发中,实现这样一个功能简单而又有趣的应用,正是学习和熟悉Vue.js的绝佳机会。Vue.js以其灵活的组件化设计和直观的数据绑定,使得构建动态应用变得轻而易举。在本篇文章中,我们将带您逐步实现一个待办任务列表应用,深入探讨Vue模板的使用和应用场景。通过实例化的讲解,您将学习到如何创建、修改和删除任务,并掌握如何利用Vue的响应式特性来提升用户体验。
新书速览|循序渐进Vue.js 3.x前端开发实践
quanzhankaifaqua的博客
09-14 1791
内容涵盖Vue.js的基本概念、模板语法、组件使用、用户交互处理、动画效果实现、脚手架工具Vite的使用,以及如何利用UI框架Element Plus、网络请求框架Axios、路由管理框架Vue Router和状态管理框架Pinia等工具来构建商业级应用。最终章节通过一个完整的电商后台管理系统,对所学的知识进行综合运用,加深读者对Vue.js开发流程和技巧的理解,提高项目开发能力。此外,还提供了丰富的学习资源,如教学视频、代码导读手册、完整源码和PPT教学课件等,使读者能够更高效地学习和掌握知识。
【粉丝福利社】循序渐进Vue.js 3.x前端开发实践
热门推荐
时光隧道
09-25 4万+
在当今的Web开发领域,Vue.js已经成为不可或缺的一部分,它以轻量级、高性能和易上手著称。对于前端开发者而言,掌握Vue.js不仅是提升技能的需要,更是职业发展的要求。本书正是为了满足这样的需求而编写的。本书以一个拥有近十年前端开发经验的一线“老司机”的视角,以帮助读者掌握企业级开发技能为主旨,既详细介绍了Vue.js的基本概念和应用,又深入探讨了其背后的原理和最佳实践,力求能使读者边学边练,快速且扎实地掌握Vue.js框架的方方面面,并且真正可以使用它开发出商业级别的应用程序。本书内容。
愚公系列】《循序渐进Vue.js 3.x前端开发实践》044-Element Plus入门
时光隧道
02-02 1万+
在现代前端开发中,用户界面的设计和体验越来越受到重视。为了提高开发效率和界面美观性,使用 UI 组件库已成为许多开发者的首选。Element Plus 作为一款基于 Vue 3 的组件库,为开发者提供了丰富而灵活的 UI 组件,帮助我们快速构建高质量的应用界面。本篇文章将带你深入探索 Element Plus 的世界,帮助你快速上手这一强大的 UI 组件库。我们将介绍 Element Plus 的基本概念、安装步骤,并通过具体示例展示如何使用其丰富的组件来构建美观、响应式的用户界面。
循序渐进Vue.js 3前端开发实战
NSCN
01-12 1749
《循序渐进Vue.js 3前端开发实战》
愚公系列】《生产线数字化设计仿真》001-绪论和工业数字孪生技术简介
时光隧道
05-25 3019
在国民经济的宏大版图中,制造业宛如中流砥柱,是立国之根基、兴国之利器、强国之支撑。自21世纪以来,全球制造业格局风云变幻,一场由新一代信息技术制造业深度融合引发的产业变革,正以排山倒海之势重塑着行业的面貌。新的生产方式、产业形态、商业模式和经济增长点如雨后春笋般涌现,我国制造业在这场变革的浪潮中,既面临着前所未有的挑战,也迎来了千载难逢的机遇。党的二十大报告高瞻远瞩,明确提出“加快建设制造强国”的战略目标。
愚公系列】《生产线数字化设计仿真》003-智能检测生产线的应用背景和功能要求
时光隧道
05-26 1468
工业4.0浪潮席卷全球的今天,制造业正经历一场颠覆性变革。传统生产线依赖人工质检的模式,已难以满足市场对产品质量、交付效率和成本控制的多重需求。产品缺陷导致的召回成本、人工检测的主观性误差、柔性生产需求的快速切换,成为横亘在制造企业面前的三大难题。正是在这样的背景下,智能检测生产线应运而生,成为数字化转型浪潮中的关键一环。智能检测生产线的价值,不仅在于提升单个环节的效率,更在于构建以质量为核心的数字化闭环体系。
愚公系列】《生产线数字化设计仿真》002-数字化产线设计平台的功能和应用
时光隧道
05-26 1604
亲爱的朋友们,欢迎再次踏入《生产线数字化设计仿真》的奇妙旅程!在上一期,我们一同揭开了这门学科的神秘面纱,领略了它在现代制造业中的关键地位无限潜力。而今天,我们将聚焦一个至关重要的“利器”——数字化产线设计平台,深入探寻它的强大功能广泛应用。在制造业转型升级的浪潮中,数字化产线设计平台宛如一座精准的“导航塔”,为企业指明了高效生产的方向。它就像一个拥有无限可能的“魔法盒”,集成了众多先进的功能模块。
智能矿山成首批人工智能示范应用场景 如何实现?
weixin_50761969的博客
09-09 603
近日,智能矿山入选科技部《关于支持建设新一代人工智能示范应用场景的通知》中十大示范应用场景,引发能源行业关注。
GitHub Copilot
lixiaotao_1的博客
12-11 1791
GitHub Copilot 是人工智能编程助手,它可以帮助你编写程序。
Vue.js前端开发 PDF
05-30
前端三大框架之一:Vue.js前端开发 PDF格式,有需要的朋友可以自行下载
github copilot 是啥
xie__jin__cheng的博客
08-29 443
github copilot 是啥
GitHub Copilot 推出智能编程新模式:代码世界的新变革?
2401_86652632的博客
02-08 1359
人工智能浪潮的席卷下,各行各业都在积极探索 AI 的应用,软件开发领域也不例外。如今,具身智能 AI(Agentic AI)在应用开发和编程领域掀起热潮,各大厂商纷纷布局,试图在这个充满潜力的市场中抢占先机。就在这样的背景下,GitHub 携 Copilot agent mode 强势入场,为开发者们带来了全新的编程体验,同时还预告了更具突破性的 Project Padawan,一场编程界的变革似乎正在悄然上演。自 2021 年首次亮相,GitHub Copilot 就备受关注。
探秘GitHub Copilot:智能代码助手,编程新时代的引路人
gitblog_00054的博客
03-19 508
探秘GitHub Copilot:智能代码助手,编程新时代的引路人 copilot-docsDocumentation for GitHub Copilot项目地址:https://gitcode.com/gh_mirrors/co/copilot-docs 项目简介 GitHub Copilot 是由GitHub和OpenAI联合打造的一款革命性的代码辅助工具,它利用先进的机器学习算法,为开发...
GitHub Copilot——理解自然语言描述,并生成相应的代码片段,支持多种编程语言
m0_75253143的博客
09-25 1641
一、GitHub Copilot介绍 GitHub Copilot 是一款由 GitHub 和 OpenAI 联合开发的 AI 编程辅助工具,它能够根据上下文自动生成代码建议,帮助开发者更高效地编写代码。Copilot 可以理解自然语言的描述,并根据项目的语言、框架和需求给出智能代码补全建议。它不仅可以补全简单的代码行,还能够生成完整的函数、类,甚至是更复杂的代码片段。 二、GitHub Copilot 的主要特点 代码自动补全:Copilot 根据你正在编写的代码上下文,给出自动补全建议,
Github Copilot: 一个强大的代码助手
贰耶的博客
01-12 786
通过安装和使用Copilot,你可以更快速地生成代码片段,并受益于其智能提示和自动补全功能。在编写代码的过程中,Copilot将会根据你的输入提供代码建议和自动补全功能。当你输入一个函数或关键字时,Copilot会生成相关的代码片段,并根据上下文提供更加精确的建议。安装完成后,你需要登录你的GitHub账号,并设置一些基本配置,如选择你喜欢的主题和键位绑定。Copilot将会根据你的输入生成相应的代码,并提供更多关于数据分析和处理的建议。你可以通过选择Copilot的建议或继续手动输入来完成你的代码。
数学建模期末速成 最短路径
最新发布
2302_79444883的博客
06-02 733
最短路径 Floyd算法
西门子杯数字孪生
04-27
### 关于西门子杯数字孪生的相关信息 #### 西门子杯竞赛简介 西门子杯竞赛是一项专注于工业自动化信息化领域的赛事,旨在通过实际项目和创新思维培养学生的工程能力。其中,“数字孪生”作为近年来的重要主题之一,在比赛中占据核心地位。比赛通常围绕基于模型的设计、仿真优化以及智能制造展开。 #### 数字孪生技术文档案例教程 以下是关于西门子杯中涉及的数字孪生相关内容: 1. **技术文档** - 参赛者可以参考《数字孪生实战:基于模型的数字化企业》这本书籍[^2]。书中详细介绍了如何利用数字孪生技术推动装备制造业转型升级,并提供了多个具体方案,例如基于模型的三维设计仿真实现方法。 - 同时,《愚公系列——工业数字孪生企业应用实践》也是一份重要的参考资料[^1]。此书深入探讨了正向和逆向数字线程技术及其在工业场景下的实现路径。 2. **案例教程** - 实践篇部分展示了大量真实的工业案例,其中包括西门子自身的样板工厂经验分享。这些实例说明了如何借助数字孪生完成从产品开发到生产的全流程管理。 - 针对具体的参赛环节,建议关注以下几个方面: - 基于模型的企业 (Model-Based Enterprise, MBE) 的构建流程; - 工艺规划虚拟验证解决方案的实际操作指南; - 利用 Siemens NX 或 Teamcenter 等工具创建产品的数字孪生体[^4]。 3. **关键技术点** - 构建完整的数字线程贯穿整个生命周期是非常必要的。这不仅有助于提升产品质量,还能显著降低研发周期成本[^1]。 - 数据驱动型决策支持系统也是不可或缺的一部分。通过对实时采集的数据进行分析处理,从而指导物理实体运行状态调整[^3]。 ```python # 示例代码片段展示如何加载Siemens PLM Software中的数据接口 from siemens_plm import load_data_interface def initialize_digital_twin(): data = load_data_interface('product_model') twin_instance = create_digital_representation(data) return twin_instance twin = initialize_digital_twin() print(f"Digital Twin Initialized: {twin}") ``` 以上内容涵盖了理论知识框架搭建及动手实践两大部分,希望对你参加西门子杯有所帮助!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值