Spring Boot(七)：Spring Security如何启用与禁用CSRF

最新推荐文章于 2025-06-08 15:29:37 发布

蚁方阵

最新推荐文章于 2025-06-08 15:29:37 发布

阅读量2.7w

点赞数 1

CC 4.0 BY-SA版权

分类专栏： java 文章标签： spring security csrf REST 启用与禁用 spring-boot

本文链接：https://blog.youkuaiyun.com/yiifaa/article/details/78459677

从Spring Security 4开始，默认启用CSRF机制，本来这也不算什么大事，但与Spring Boot结合在一起，那么实现起来就比较麻烦了，尤其是采用前后端分离式的开发架构后，配置CSRF机制就更困难了，几乎所有网上的解决办法都无法解决如何获取CSRF编码的难题，首先以表单登陆的错误镇楼：

There was an unexpected error (type=Forbidden, status=403).
Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-XSRF-TOKEN'.

1. 禁用CSRF机制

禁用CSRF机制能非常完美地兼容Spring Security老版本，但在Spring Boot的实现中，如果继续沿用老版本的配置，大部分的人会碰到以下错误：

An Authentication object was not found in the SecurityContext

这是因为Spring MVC自动代理所有的请求导致的问题，所以解决办法很简单，将多个“http”配置转换为一个“http”配置，并且禁止使用“security=”none””，下面是错误的写法：

<sec:http pattern="/login.html*" security="none"/>

正确的写法如下：

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

蚁方阵

关注关注

1
点赞
踩
11

收藏

觉得还不错? 一键收藏
3
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Spring Security 升级：关闭CSRF防护

专注于深入研究多种编程语言，以实战为导向，逐步拓展开发技能，提升工程化编码和思维能力，展现无敌技术实力。

10-17

1105

本文将探讨Spring Security升级中关闭跨站请求伪造（CSRF）防护的关键步骤。CSRF防护是确保Web应用程序安全性的关键组成部分，但在某些情况下，需要关闭或微调以适应特定需求。我们将简洁地介绍为何关闭CSRF防护可能有必要，并提供简明的指南，以确保您的应用程序在升级后保持安全。无论您是新手还是有经验的开发者，本文将为您提供明确的方向，帮助您更好地理解如何应对CSRF防护。

Spring Boot安全加固：基于Spring Security的权限管理

小筱在线博客

01-20

1017

SpringSecurity是一个功能强大且高度可扩展的安全框架，主要用于保护基于Spring的应用程序。它提供了身份验证、授权、防止常见攻击等多种功能。在现代应用程序中，安全性不仅仅是防止未经授权的访问，还包括防止各种常见的安全威胁，如跨站请求伪造（CSRF）、SQL注入、跨站脚本攻击（XSS）等。SpringSecurity提供了全面的安全机制，能够有效应对这些威胁。java复制java复制@Service@Autowired@Override。

3 条评论您还未登录，请先登录后发表或查看评论

在Spring Boot中使用OAuth 2时禁用CSRF

专业的开发者“讨论”

04-22

1244

互联网上的许多示例只是说要打电话http.csrf（）。disable（）&#65292...

Spring security CSRF 跨域访问限制问题

HONEY MOOSE

10-18

3930

在我们写 Spring 安全的时候通常有这么一句话： httpSecurity.csrf().disable(). 从这句话的字面意思就很明白就是禁用 csrf，什么是 csrf，为什么要禁用可能就一脸懵逼了。因为你很有可能会遇到一个错误： HTTP Status 403－Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'. 这个就是做 Web 开发的时

CSRF（跨站请求伪造）详解

最新发布

tubug的博客

06-08

751

CSRF（Cross-Site Request Forgery）是指攻击者诱导用户在已登录某网站的情况下，执行非本意的操作（如转账、改密码等）。它依赖于用户已登录状态下浏览器自动携带 Cookie 的特性。攻击者发现目标网站存在 CSRF 漏洞，关键操作接口未对请求来源进行身份校验。攻击者构造包含恶意请求的 Payload（如自动提交的表单、恶意图片、JS 脚本等），并嵌入到钓鱼网页或第三方平台。通过社交工程手段（如钓鱼邮件、社交消息、伪装广告等）引导用户点击该页面或链接。用

详解如何在spring boot中使用spring security防止CSRF攻击

08-27

主要介绍了详解如何在spring boot中使用spring security防止CSRF攻击，小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧

SpringSecurity关闭csrf防护

liubopro666的博客

10-23

1353

CSRF防护：CSRF：跨站请求伪造，通过伪造用户请求访问受信任的站点从而进行非法请求访问，是一种攻击手段。Spring Security为了防止CSRF攻击，默认开启了CSRF防护，这限制了除了GET请求以外的大多数方法。我们要想正常使用Spring Security需要突破CSRF防护。

SpringSecurity之CSRF

ybb_ymm的专栏

04-15

1386

跨站请求伪造（英语：Cross-site request forgery），也被称为 one-click attack 或者 session riding，通常缩写为 CSRF 或者 XSRF，是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本（XSS）相比，XSS利用的是用户对指定网站的信任，CSRF利用的是网站对用户网页浏览器的信任。

SpringSecurity：CSRF防护

2201_75856701的博客

01-14

354

继续演示开启CSRF防护的场景（当时关闭了CSRF：.csrf().disable()）。依赖不变，核心依赖为Web与Thymeleaf从官网中可以知道，CSRF防护的关键在于我们发请求时附带一个随机数（CSRF token），而这个随机数不会被浏览器自动携带（eg: Cookie就会被浏览器自动带上）。

4-SpringSecurity：CSRF防护

GJ_ia的博客

01-08

237

从官网中可以知道，CSRF防护的关键在于我们发请求时附带一个随机数（CSRF token），而这个随机数不会被浏览器自动携带（eg: Cookie就会被浏览器自动带上）。通过form表单是一种发送POST请求的方式，但我们其他的请求不可能都通过form表单来提交。中的信息对于攻击者来说是不可见的，无法伪造的，虽然Cookie被浏览器。本系列教程，是作为团队内部的培训资料准备的。，这里演示下前后端分离项目如何实现CSRF防护下的安全请求。里面到底放了什么内容，攻击者是不知道的，所以将。

Spring Boot整合Spring Security：构建高安全的分布式系统

weixin_42593797的博客

04-26

1498

在微服务架构中，系统安全面临两大核心挑战：‌认证分散化‌（多服务统一登录）和‌授权动态化‌（实时权限控制）。Spring Security作为Spring生态的官方安全框架，凭借其‌模块化设计‌、‌深度整合能力‌以及‌对OAuth2的天然支持‌，成为企业级安全方案的首选。本文基于‌与‌，深度解析其核心原理，并通过代码演示如何实现‌分布式认证‌、‌动态权限管理‌和‌无状态API保护‌。实现@Service@Autowired@Override。

详解利用spring-security解决CSRF问题

08-27

主要介绍了详解利用spring-security解决CSRF问题，小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧

spring boot项目怎么预防CSRF攻击

keyboard专栏

04-24

1355

在Spring Boot项目中预防CSRF攻击通常涉及利用Spring Security框架提供的内置支持。Spring Security已经为CSRF提供了默认的防护措施，但根据应用的特定需求，可能需要进行一些配置调整或扩展。

spring security CSRF防护

aabbyyz的博客

10-22

1719

分享一下我老师大神的人工智能教程！http://blog.youkuaiyun.com/jiangjunshow 也欢迎大家转载本篇文章。分享知识，造福人民，实现我们中华民族伟大复兴！ CSRF是指跨站请求伪造（Cross-site request forgery），是web常见的攻击之一。从Spring Security 4.0开始，默认情况下会启用CSR...

java csrf攻击,Spring-Security对CSRF攻击的支持

weixin_28784019的博客

03-19

170

何时使用CSRF保护什么时候应该使用CSRF保护？我们的建议是使用CSRF保护，可以通过浏览器处理普通用户的任何请求。如果你只是创建一个非浏览器客户端使用的服务,你可能会想要禁用CSRF保护。(即所有处理来自浏览器的请求需要是CSRF保护，如果后台服务是提供API调用那么可能就要禁用CSRF保护)配置CSRF保护CSRF保护默认情况下使用Java配置启用@EnableWebSecuritypubl...

10 SpringSecurity-跨域请求伪造(CSRF)的防护

02-22

4381

一、CSRF CSRF的全称是（Cross Site Request Forgery），可译为跨域请求伪造，是一种利用用户带登录态的cookie进行安全操作的攻击方式。CSRF实际上并不难防，但常常被系统开发者忽略，从而埋下巨大的安全隐患。二、攻击过程举个例子，假设你登录了邮箱，正常情况下可以通过某个链接http:xx.mail.com/send可以发送邮件。此时你又访问了别的网站，网站中有黄色广告，点击后广告会请求http:xx.mail.com/send。此时相当于在盗版网站中调用了发送邮

Spring security和CSRF相关问题

Ssolitude123的博客

04-14

951

什么是CSRF CSRF（Cross-site request forgery）跨站请求伪造：攻击者诱导受害者进入第三方网站，在第三方网站中，向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证，绕过后台的用户验证，达到冒充用户对被攻击的网站执行某项操作的目的。一个典型的CSRF攻击有着如下的流程：受害者登录a.com，并保留了登录凭证（Cookie）。攻击者引诱受害者访问了b.com。 b.com 向 a.com 发送了一个请求：a.com/act=xx。浏览器会默认携带a.

springboot 关闭CSRF 过滤

qq_22307255的博客

08-23

834

springboot 关闭ｃｓｒｆ

security禁用csrf

以爱护甲,爱满枫林。

09-23

7142

项目中启用了 security，post请求无法通过，页面报错如下：搜了下CSRF CSRF（Cross-site request forgery跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。为了防止跨站提交攻击，通常会配置csrf。原因找到了：Spring Security 3默...