2. 程式人生 > >spring security中CSRF中設定不針對某些請求過濾

spring security中CSRF中設定不針對某些請求過濾

阿新 發佈:2019-01-01
在spring security 4中,CSRF預設開啟: 


Java程式碼  收藏程式碼
  1. <http>  
  2.     ...  
  3.     <csrf />  
  4. </http>  


但如果某些URL不想加入CSRF,可以使用下面的辦法下載: 

實現RequestMatcher.這個介面中的方法,在這裡排除某些URL不做CSRF,比如: 

Java程式碼  收藏程式碼
  1. public class CsrfSecurityRequestMatcher implements RequestMatcher {  
  2.     private Pattern allowedMethods = Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$"
    );  
  3.     private RegexRequestMatcher unprotectedMatcher = new RegexRequestMatcher("/unprotected"null);  
  4.     @Override  
  5.     public boolean matches(HttpServletRequest request) {  
  6.         if(allowedMethods.matcher(request.getMethod()).matches()){  
  7.             return false;  
  8.         }  
  9.         return
     !unprotectedMatcher.matches(request);  
  10.     }  
  11. }  


這裡,就是針對/unproted開頭的URL,都不用做CSRF了 
然後在配置檔案中下載: 

Java程式碼  收藏程式碼
  1. <http>  
  2.     <csrf request-matcher-ref="csrfSecurityRequestMatcher"/>  
  3. </http>  

相關推薦

spring securityCSRF設定針對某些請求過濾

在spring security 4中,CSRF預設開啟:  Java程式碼   <http>       ...       <csrf />   </http>   但如果某些URL不想加入CSRF,可以使用下面的辦法下載: 實

學習Spring Security的過程遇到的問題彙總

首先分享兩個學習Spring security的資源:http://www.mossle.com/docs/auth/html/index.html   (寫成於2009年,較老,但是對於初學者還是很有幫助的) http://www.iteye.com/blogs/subj

Spring Security 取Session的值和修改userDetails(轉)

1.在session中取得spring security的登入使用者名稱如下${session.SPRING_SECURITY_CONTEXT.authentication.principal.username}spring security 把SPRING_SECURITY

使用thymeleaf+spring security處理csrf時遇到Cannot create a session after the response has been committed

文章目錄 被這個問題折磨了幾個小時,期間懷疑了各種程式碼,但最終還是讓我發現了根本性的原因 spring security中預設csrf是懶載入的,只有在第一次使用_csrf時才會建立session 而thymeleaf頁面的緩衝區滿後,response會在模板

Spring Security應用開發(18)基於方法的授權(二)過濾

屬性 and welcome pre length ++ per tsa 目標 本文將介紹@PreFilter和@PostFilter這兩個註解。 @PreFilter @PreFilter用於對方法的參數進行過濾。這種情況下參數通常是集合類型,符合條件的值被保留在集合

Tortoise SVN 設定同步某些檔案或是資料夾

最近剛剛在自己的雲伺服器上搭建了SVN伺服器,客戶端使用的是tortoiseSVN 和 eclipse上的一個外掛。後來我發現使用起來非常方便,小組之間同步程式碼非常方便,而且,相對的,我也可以把自己的程式碼備份在雲端,隨時進行版本控制。 問題就是在這個時候出

Spring Security 實戰乾貨:客戶端OAuth2授權請求的入口

![](https://img2020.cnblogs.com/other/1739473/202011/1739473-20201110085804324-1005707290.png) ## 1. 前言 在[Spring Security 實戰乾貨:OAuth2第三方授權初體驗](https://mp

Java Filter 攔截某些請求,Java Filter支援Ajax請求

Java 過濾器Filter,Java Filter 不攔截某些請求 Java 過濾器支援Ajax請求     ================================ ©Copyright 蕃薯耀 2018年10月19日 http://fanshuyao.i

spring securitycsrf的處理

spring boot 與spring security進行整合的時候需要考慮csrf的問題。但是,有時候csrf會攔截所有的post請求,此時應該怎麼辦,,,     首先,我們在header.html中新增一下程式碼(此處的header.html可以理解為每個頁面的頭部,為了整合方便

spring security 3 使用自定義資料庫來設定許可權

參考文件: http://wenku.baidu.com/view/4ec7e324ccbff121dd368364.html 在spring security3中使用自己定義的資料結構來實現許可權設

企業分布式微服務雲SpringCloud SpringBoot mybatis (六)Spring Boot使用Spring Security進行安全控制

spring ron public 控制 應用 app ebs cloud 來源 準備工作 首先,構建一個簡單的Web工程,以用於後續添加安全控制,也可以用之前Chapter3-1-2做為基礎工程。若對如何使用Spring Boot構建Web應用,可以先閱讀《Spring

Spring Boot使用Spring Security實現權限控制

unicode then add sta spa 攔截器 nco throw views Spring Boot框架我們前面已經介紹了很多了,相信看了前面的博客的小夥伴對Spring Boot應該有一個大致的了解了吧,如果有小夥伴對Spring Boot尚不熟悉

spring security 配置多個 AuthenticationManager

基於spring-security4.2.x和security-oauth2.3.x 在使用Security配置Oauth2.0的時候需要多個authenticationManager來管理來自不同方向的認證管理,比如一個clientAuthenticationManager用來認證client

spring securityspring webflux 的使用

spring5增加了reactive web模組,相應的在spring security中也增加了 [webflux-web-security] 模組,相對於spring security 在配置和使用方面有略微的差異,下面主要說明簡單的配置和自定義使用者資訊的配置。 1、基本配置 impo

SpringBoot 使用 Spring Security

我們在編寫Web應用時,經常需要對頁面做一些安全控制,比如:對於沒有訪問許可權的使用者需要轉到登入表單頁面。要實現訪問控制的方法多種多樣,可以通過Aop、攔截器實現,也可以通過框架實現(如:Apache Shiro、Spring Security)。 本文將具體介紹在Spring Boot中

spring事務——try{...}catch{...}事務回滾的幾種處理方式

當希望在某個方法中新增事務時,我們常常在方法頭上新增@Transactional註解 @ResponseBody @RequestMapping(value = "/payment", method = RequestMethod.POST, produces = MediaType

extjscheckbox選中與選中設定

修改checkbox的狀態有兩種方式 在元件生成時就設定:           checked:true;//選中,預設為false,即不選中 在元件生成後設置:          &

Spring Security異常上拋機制及對於轉型處理的一些感悟

在使用Spring Security的過程中,我們會發現框架內部按照錯誤及問題出現的場景,劃分出了許許多多的異常,但是在業務呼叫時一般都會向外拋一個統一的異常出來,為什麼要這樣做呢,以及對於丟擲來的異常,我們又該如何分場景進行差異化的處理呢,今天來跟我一起看看吧。  一個登陸場景下的外層程式碼

angularjs,ng-hide隱藏的元素,設定了style

做一個搜尋歷史框,input獲得焦點就顯示搜尋歷史框,框寬度與input框同寬(因為input後還有一個搜尋按鈕呢)否則不顯示。 在獲得焦點的函式中,已經把flag賦值為true了,卻還是不能執行下面

spring-securityspring webflux 的使用

spring security 在 spring webflux 中的使用 spring5增加了reactive web模組,相應的在spring security中也增加了 [webflux-web-security] 模組,相對於spring secur