使用Spring Security 3.2.0.RELEASE,如何在没有标签库的纯HTML页面中获取CSRF令牌
我从具有单独的java config依赖项的Spring Security 3.1.4升级到了包含Java config的新3.2.0版本。CSRF默认情况下处于启用状态,我知道可以使用“ http.csrf()。disable()”在覆盖的configure方法中将其禁用。但是,假设我不想禁用它,但是我需要在登录页面上使用CSRF令牌,该页面上没有使用JSP标签库或Spring标签库。
我的登录页面是纯HTML,可用于使用Yeoman生成的Backbone应用中。我该如何将HttpSession中包含的CSRF令牌以表格形式或作为标头包含在内,以便我不会收到“找不到期望的CSRF令牌。你的会话是否已过期?” 例外?
问题答案:
你可以获取使用名为_csrf中所列的请求属性CSRF 参考。要将CSRF添加到HTML页面,你将需要使用JavaScript来获取需要包含在请求中的令牌。
将标头作为标头返回比在主体中作为JSON返回更安全,因为主体中的JSON可以通过外部域获取。例如,你的JavaScript可以请求由以下内容处理的URL:
CsrfToken token = (CsrfToken) request.getAttribute("_csrf");
// Spring Security will allow the Token to be included in this header name
response.setHeader("X-CSRF-HEADER", token.getHeaderName());
// Spring Security will allow the token to be included in this parameter name
response.setHeader("X-CSRF-PARAM", token.getParameterName());
// this is the value of the token to be included as either a header or an HTTP parameter
response.setHeader("X-CSRF-TOKEN", token.getToken());
然后,你的JavaScript将从响应标头中获得标头名称或参数名称以及令牌,并将其添加到登录请求中。
-
今天,我从带有单独java配置依赖项的Spring Security 3.1.4升级到包含java配置的新3.2.0版本。CSRF在默认情况下是打开的,我知道我可以在重写的configure方法中使用“http.CSRF().disable()”禁用它。但是假设我不想禁用它,但我需要登录页面上的CSRF令牌,其中没有使用JSP标记库或Spring标记库。 我的登录页面纯粹是HTML,我在使用Yeo
-
问题内容: 如何使用JavaScript获取HTML页面的标题? 问题答案: 用途:
-
本文向大家介绍如何在HTML表中使用HTML标签?,包括了如何在HTML表中使用HTML标签?的使用技巧和注意事项,需要的朋友参考一下 使用HTML,您可以轻松地在表内添加HTML标签。标签应在<td>标签内打开和关闭。例如,添加段落<p> ... </>标记,甚至添加列表标记,即<ul> ... <ul>。 示例 您可以尝试运行以下代码以在HTML表中使用HTML标签<ul>…</ ul>
-
问题内容: 我曾经用过,但是抛出了一个错误…有什么办法得到所有东西? 问题答案: 您可以尝试: 如果您还想捕获html标签,可以将它们连接到html,如下所示:
-
问题内容: 我在下面有HTML代码,并且文本周围没有任何HTML。有什么方法可以隐藏 “ p”标记后 的文本“ Enter” ? 无法用div或任何其他标签包装它,因此我需要一些不同的决定,例如JavaScript或CSS? 问题答案: 我会考虑使用font-size的CSS hack: 另一个想法是:
-
问题内容: 我试过了,但显示“未定义”。 有没有什么方法可以使用简单的Javascript来获取价值? 问题答案: 您可能想尝试代替。 Given 将返回DOM内容作为,而不是。如果您知道您只包含文本,但不适用于每个用例,那很好。对于这些情况,您可能必须使用而不是 例如,考虑以下标记: 您将得到以下结果: