SpringSecurity解决POST方式下CSRF问题

谁践踏了优雅 2023-07-25 05:30 6阅读 0赞

**问题现象**：`HTTP Status 403－Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'`

**原因：**`Spring Security`为防止`CSRF`(`Cross-site requetst forgery`跨站请求伪造)的发生，限制了除了get以外的大多数方法。

**解决方案①(后端常用)：**  
 屏蔽`CSRF`控制，即`Spring Security`不再限制`CSRF`,进行配置：

@Override
    protected void configure(HttpSecurity http) throws Exception { 
     	//屏蔽CSRF控制
     	http.csrf().disable()
    	... 
    }

**解决方案②：**  
定义`headers`，`post`方式提交的时候带上`headers`的信息：

var headers = { };
    headers['X-CSRF-TOKEN'] = "[[${_csrf.token}]]";
    $.ajax({ 
        url: url,
        type: "POST",
        headers: headers,
        dataType: "json",
        success: function(result) { 
        }
    });

**解决方案③：**  
直接作为参数提交:

$.ajax({ 
        url: url,
        data: { 
            "[[${_csrf.parameterName}]]": "[[${_csrf.token}]]"
            },
        type: "POST",
        dataType: "json",
        success: function(result) { 
        }
    });

**解决方案④：**  
`form`表单提交的时候，作为隐藏参数提交

<input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}">

发表评论取消回复

表情：

评论列表（有 0 条评论，6人围观）

还没有评论，来说两句吧...

相关阅读

相关 SpringSecurity6.0版本 CSRF验证的处理

目录问题描述解决方案问题追踪问题描述 6版本(starter 3版本）之前，我们可以简单地通过如下代码开启CSRF验证，并且将token

川长思鸟来/ 2024年03月31日 18:01/ 0 赞/ 102 阅读

相关 SpringSecurity（十）【CSRF 漏洞保护】

十、CSRF 漏洞保护 -------------------- > 简介 CSRF（Cross-Site Request Forgery 跨站请求伪造），也可称为一

电玩女神/ 2024年03月30日 12:08/ 0 赞/ 156 阅读

相关使用AJAX实现SpringSecurity登录（不禁用csrf ）

SpringSecurity配置类代码： @Configuration @EnableWebSecurity @EnableGlobalMethodS

﹏ヽ暗。殇╰゛Y/ 2023年09月23日 16:51/ 0 赞/ 90 阅读

相关 SpringSecurity解决POST方式下CSRF问题

问题现象：`HTTP Status 403－Invalid CSRF Token 'null' was found on the request parameter '_csr

谁践踏了优雅/ 2023年07月25日 05:30/ 0 赞/ 7 阅读

相关 SpringSecurity解决跨域问题

今天集成了SpringSecurity发现postman可以访问，浏览器不可以访问，但是我之前已经做好了跨域的。如果你的SpringBoot项目已经解决了跨域，那么只需要在

た入场券/ 2023年07月08日 09:16/ 0 赞/ 84 阅读

相关 CSRF攻击方式

一.CSRF是什么？　　CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session

待我称王封你为后i/ 2022年07月28日 09:14/ 0 赞/ 74 阅读

相关 springmvc post方式提交form时乱码问题——filter方式解决

springmvc post方式提交form时乱码问题——filter方式解决最近遇到了一个奇怪的问题，就是编码问题。采用springmvc的时候，正常的get方式和

约定不等于承诺〃/ 2022年05月23日 02:20/ 0 赞/ 259 阅读

相关 SpringSecurity文件上传 CSRF错误:Invalid CSRF Token 'null' was found on the request parameter '_csrf' or ..

![70][] Spring Security CSRF，默认是开启。CSRF默认支持的方法： GET|HEAD|TRACE|OPTIONS，不支持POST。比较关键的一

落日映苍穹つ/ 2022年05月22日 10:42/ 0 赞/ 237 阅读

相关如何解决POST与GET方式乱码问题

解决POST请求乱码问题：在web.xml中加入：  <filter> <filter-name>enco

我不是女神ヾ/ 2022年03月17日 03:58/ 0 赞/ 288 阅读

相关 Springsecurity 长期未操作post失败问题解决办法

问题：停留在一个界面30分钟，点击ajax提交post失败问题解决方案：以上问题的原因应该是Springsecurity本身session超时问题。

你的名字/ 2021年12月17日 12:25/ 0 赞/ 347 阅读