2. 程式人生 > >spring security中csrf的處理

spring security中csrf的處理

阿新 發佈:2018-12-11

spring boot 與spring security進行整合的時候需要考慮csrf的問題。但是,有時候csrf會攔截所有的post請求,此時應該怎麼辦,,,

    首先,我們在header.html中新增一下程式碼(此處的header.html可以理解為每個頁面的頭部,為了整合方便,將頁面頭部單獨提取出來為header.html)   

<!-- CSRF -->
<meta name="_csrf" th:content="${_csrf.token}"/>
<!-- default header name is X-CSRF-TOKEN -->
<meta name="_csrf_header" th:content="${_csrf.headerName}"/>
其次,在使用ajax提交post表單的時候,先獲取token,使用如下程式碼獲取:
// 獲取 CSRF Token 
var csrfToken = $("meta[name='_csrf']").attr("content");
var csrfHeader = $("meta[name='_csrf_header']").attr("content");

在ajax訪問後臺之前呼叫beforesend,先在請求頭中新增token
beforeSend: function(request) {
             request.setRequestHeader(csrfHeader, csrfToken); // 新增  CSRF Token 
         },

完整呼叫的ajax如下:
$("#rightContainer").on("click",".blog-delete-user", function () { 
   // 獲取 CSRF Token 
   var csrfToken = $("meta[name='_csrf']").attr("content");
   var csrfHeader = $("meta[name='_csrf_header']").attr("content");
   $.ajax({ 
       url: "/users/" + $(this).attr("userId") , 
       type: 'DELETE', 
       beforeSend: function(request) {
                request.setRequestHeader(csrfHeader, csrfToken); // 新增  CSRF Token 
            },
       success: function(data){
          if (data.success) {
             // 從新重新整理主介面
             getUersByName(0, _pageSize);
          } else {
             toastr.error(data.message);
          }
        },
        error : function() {
           toastr.error("error!");
        }
    });
});

相關推薦

spring securitycsrf處理

spring boot 與spring security進行整合的時候需要考慮csrf的問題。但是,有時候csrf會攔截所有的post請求,此時應該怎麼辦,,,     首先,我們在header.html中新增一下程式碼(此處的header.html可以理解為每個頁面的頭部,為了整合方便

spring securityCSRF設定不針對某些請求過濾

在spring security 4中,CSRF預設開啟:  Java程式碼   <http>       ...       <csrf />   </http>   但如果某些URL不想加入CSRF,可以使用下面的辦法下載: 實

Spring Security異常上拋機制及對於轉型處理的一些感悟

在使用Spring Security的過程中,我們會發現框架內部按照錯誤及問題出現的場景,劃分出了許許多多的異常,但是在業務呼叫時一般都會向外拋一個統一的異常出來,為什麼要這樣做呢,以及對於丟擲來的異常,我們又該如何分場景進行差異化的處理呢,今天來跟我一起看看吧。  一個登陸場景下的外層程式碼

spring security 配置多個 AuthenticationManager

基於spring-security4.2.x和security-oauth2.3.x 在使用Security配置Oauth2.0的時候需要多個authenticationManager來管理來自不同方向的認證管理,比如一個clientAuthenticationManager用來認證client

spring security spring bean組成的過濾器鏈如何初始化的

pring security 中spring bean組成的過濾器鏈如何初始化的 spring security 框架的安全是基於過濾器鏈的,但此filter是被spring容器託管的. 一般我們會在web.xml檔案中配置一個代理過濾器: <filter>

Spring Security使用AJAX向後臺傳送資料

工作中遇到的問題,這裡記錄下,也希望能夠幫助同學們少走彎路 為了快速幫助快速解決問題,我決定首先呈現問題的表現,再進行分析 環境:spring 4.2.3   spring security 4.1.3 表現: 2016-10-26 22:44:02 [http-apr-9

Spring Security Message亂碼問題

Spring   Security  框架將所有的錯誤資訊都定義成了異常,並且提供了國際化的資原始檔。這 個資原始檔在 spring-security-core-xxx.jar 檔案中。使用國際化輸出

SpringSpring-Boot、Spring-Security對CORS(跨域資源共享)的支援

       出於安全原因,瀏覽器禁止AJAX呼叫當前域之外的域的資源。跨源資源共享(CORS)是由大多數瀏覽器實現的W3C規範,允許您指定哪些型別的跨域請求是被授權的,而不是基於IFRAME或JSONP的不安全且功能較差的工作區。      Spring MVC Hand

Spring Security代理過濾器是通過FilterChain如何工作的

我們在搭建Spring Security框架的第一步配置是在專案的web.xml新增代理過濾器,配置如下 <filter> <filter-name>springSecurityFilterChain</filter-name>

Spring Securityhtml頁面設置hasRole無效的問題

權限 不支持 new min 發現 測試 -a sdn .get Spring Security中html頁面設置hasRole無效的問題 一、前言 學了幾天的spring Security,偶然發現的hasRole和hasAnyAuth

淺談spring security的許可權控制

當我們在OAuth登陸後,獲取了登陸的令牌,使用該令牌,我們就有了訪問一些受OAuth保護的介面的能力。具體可以看本人的這兩篇部落

Spring Security 實戰乾貨:圖解Spring Security的Servlet過濾器體系

## 1. 前言 我在[Spring Security 實戰乾貨:內建 Filter 全解析](https://www.felord.cn/spring-security-filters.html)對**Spring Security**的內建過濾器進行了羅列,但是**Spring Security**真

使用thymeleaf+spring security處理csrf時遇到Cannot create a session after the response has been committed

文章目錄 被這個問題折磨了幾個小時,期間懷疑了各種程式碼,但最終還是讓我發現了根本性的原因 spring security中預設csrf是懶載入的,只有在第一次使用_csrf時才會建立session 而thymeleaf頁面的緩衝區滿後,response會在模板

Spring security + cas ,Https請求莫名變為Http請求的處理

public class CrownAuthenticationSuccessHandler extends         SavedRequestAwareAuthenticationSuccessHandler {     @Override     public v

Spring Security簡明實踐及相關國際化處理

logs replace accept remember 沒有 dex glob ada XML 別人的都是最佳實踐,因為我目前的設置沒有按照參考文檔推薦,還是采用DelegatingFilterProxy,所以我只能說簡明實踐。先貼我的applicationCo

spring-boot實戰【07】【轉】:Spring BootWeb應用的統一異常處理

http integer private fin ima lex clas 友好 ref 我們在做Web應用的時候,請求處理過程中發生錯誤是非常常見的情況。Spring Boot提供了一個默認的映射:/error,當處理中拋出異常之後,會轉到該請求中處理,並且該請求有一個全

Spring security csrf實現前端純html+ajax

var light urn span 同時 pan mode eth res spring security集成csrf進行post等請求時,為了防止csrf攻擊,需要獲取token才能訪問 因此需要添加 <input type="hidden" name="${_

spring+activemq多個consumer同時處理消息時遇到的性能問題

每次 分發 active 行數據 裏的 數據 情況 實現 出隊 最近在做數據對接的工作,用到了activemq,我需要從activemq中接收消息並處理,但是我處理數據的步驟稍微復雜,漸漸的消息隊列中堆的數據越來越多,就想到了我這邊多開幾個線程來處理消息。 可是會發現,服務

企業分布式微服務雲SpringCloud SpringBoot mybatis (六)Spring Boot使用Spring Security進行安全控制

spring ron public 控制 應用 app ebs cloud 來源 準備工作 首先,構建一個簡單的Web工程,以用於後續添加安全控制,也可以用之前Chapter3-1-2做為基礎工程。若對如何使用Spring Boot構建Web應用,可以先閱讀《Spring

企業分布式微服務雲SpringCloud SpringBoot mybatis (五)Spring BootWeb應用的統一異常處理

src one exception learn 微服務 public .net 可能 訪問 我們在做Web應用的時候,請求處理過程中發生錯誤是非常常見的情況。Spring Boot提供了一個默認的映射:/error,當處理中拋出異常之後,會轉到該請求中處理,並且該請求有一個