问题：

出现意外错误（类型=禁止，状态=403）。禁止

刘绍晖

2023-03-14

Spring我是新来的。我试图在我的数据库中添加一个新目标。在我添加spring security之前，它是有效的，但现在如果我单击添加新目标，我有一个问题：

出现意外错误（类型=禁止，状态=403）。被禁止的

我的goat-add.html：

<!DOCTYPE HTML>
<html xmlns:th="http://www.thymeleaf.org">
<head>
    <title>Goals</title>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
    <link rel="stylesheet" href="https://stackpath.bootstrapcdn.com/bootstrap/4.5.2/css/bootstrap.min.css">
</head>
<body>
<header th:insert="blocks/header :: header"></header>

<div class="container mt-5 mb-5">
    <h1>Your goals</h1>
    <form action="/goal/add" method="post">
        <input type="text" name="name" placeholder="Write your goal name" class="form-control"><br>
        <textarea type="text" name="description" placeholder="Write your goal description" class="form-control"></textarea><br>
        <button type="submit" class="btn btn-success">Add goal</button>
    </form>
</div>

<div th:insert="blocks/footer :: footer"></div>

</body>
</html>

WebSecurity配置类：

package com.evgzabozhan.GoatGoal.config;
import com.evgzabozhan.GoatGoal.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;


@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private UserService userService;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .antMatchers("/login","/registration").permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
                .logout()
                .permitAll();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userService)
                .passwordEncoder(NoOpPasswordEncoder.getInstance());
    }
}

我的控制器：

package com.evgzabozhan.GoatGoal.controller;

import com.evgzabozhan.GoatGoal.model.Goal;
import com.evgzabozhan.GoatGoal.model.User;
import com.evgzabozhan.GoatGoal.repository.GoalRepository;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.annotation.AuthenticationPrincipal;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestParam;

import java.util.*;

@Controller
public class GoalController {

    @Autowired
    private GoalRepository goalRepository;

    @GetMapping("/goal")
    public String goal(Model model){
        Iterable<Goal> goals = goalRepository.findAll();
        model.addAttribute("goals",goals);
        return "goal/goal-main";
    }

    @GetMapping("/goal/add")
    public String getGoalAdd(Model model){
        return "goal/goal-add";
    }

    @PostMapping("/goal/add")
    public String postGoalAdd(@AuthenticationPrincipal User user,
                              @RequestParam String name,
                              @RequestParam String description, Model model){

        Goal goal = new Goal(name,description,user);
        goalRepository.save(goal);
        model.addAttribute("message",user.getUsername());
        return "redirect:/goal";
    }

    @GetMapping("/goal/{id}")
    public String goalInfo(@PathVariable(value = "id") long id, Model model) {
        if (!goalRepository.existsById(id)) {
            return "redirect:/goal";
        }

        Optional<Goal> goal = goalRepository.findById(id);
        ArrayList<Goal> result = new ArrayList<>();
        goal.ifPresent(result::add);
        model.addAttribute("goal", result);
        return "goal/goal-info";
    }

    @GetMapping("/goal/{id}/edit")
    public String goalEdit(@PathVariable(value = "id") long id, Model model){
        if (!goalRepository.existsById(id)) {
            return "redirect:/goal";
        }

        Optional<Goal> goal = goalRepository.findById(id);
        ArrayList<Goal> result = new ArrayList<>();
        goal.ifPresent(result::add);
        model.addAttribute("goal", result);
        return "goal/goal-edit";
    }

    @PostMapping("/goal/{id}/edit")
    public String postGoalUpdate(@PathVariable(value = "id") long id,
                                 @RequestParam String name,
                                 @RequestParam String description,
                                 Model model){
        Goal goal = goalRepository.findById(id).orElseThrow();
        goal.setName(name);
        goal.setDescription(description);
        goalRepository.save(goal);
        return "redirect:/goal";
    }

    @PostMapping("/goal/{id}/remove")
    public String postGoalRemove(@PathVariable(value = "id") long id, Model model){
        Goal goal = goalRepository.findById(id).orElseThrow();
        goalRepository.delete(goal);
        return "redirect:/goal";
    }
}

我读到这个问题可以是如果不使用csrf，但我不明白我怎么能解决它。

所有代码：https://github.com/evgzabozhan/GoatGoal

谢谢你的帮助！

共有2个答案

松英喆

2023-03-14

我补充说。csrf。在configure方法中禁用（）及其工作。

  @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .authorizeRequests()
                .antMatchers("/login","/registration").permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
                .logout()
                .permitAll();
    }

这是因为crsf在Spring默认启用

穆乐逸

2023-03-14

我认为这是因为任何目标调用都不是允许的操作

.antMatchers("/login","/registration").permitAll()

应该是

 .antMatchers("/login","/registration","/goal").permitAll()

类似资料：

出现意外错误（类型=禁止，状态=403）。拒绝访问

出现意外错误（类型=禁止，状态=403）。访问被拒绝。当我试图从邮递员或浏览器中访问URL时，我收到了一个错误，即出现了一个意外错误（类型=禁止，状态=403）。访问被拒绝。 1）网络安全类：- 2）身份验证筛选器类：- 3）控制器类：- 4）服务实现类：-
删除操作返回错误：出现意外错误（类型=禁止，状态=403）。被禁止的

我正在做一个spring boot项目，其中包括thymeleaf，spring security。当我执行以下操作时效果很好：显示产品列表、显示产品详细信息、添加新产品、更新现有产品。但当我执行-删除产品时，会出现以下错误：白标错误页面此应用程序没有/error的显式映射，因此您将其视为一种回退。 18 16:59:16BDT 2019 出现意外错误（类型=禁止，状态=403）。被禁止的
带Spring security错误的Spring Boot：出现意外错误（类型=禁止，状态=403）

我目前正在实现安全与Spring Boot到我的小API作为一个项目到学校当然没什么大不了的，但我想管理一些角色和东西。我一直在尝试添加. antMatcher（url）. hasRole（一些角色）。...更多的蚂蚁匹配器... 当测试登录实际上显示一个错误（类型=禁止，状态=403）。下面是一些代码只是一个控制器，显示我的控制面板CRUD我的动物： p 我希望你们能帮助我，我是新来的。
“状态”：403，“错误”：“禁止”，“消息”：“禁止”，“路径”：“/发布/创建”

我有基本授权，它基于Spring启动安全性：当我尝试在授权后添加新帖子时，我会收到这条消息：在我的控制器中：然而，读操作从我的控制器工作得很好，但积垢操作我没有访问权。我的依赖性如下：知道吗？提前谢谢！
HTTPError：HTTP错误403：禁止

问题内容：我制作了供个人使用的python脚本，但不适用于Wikipedia … 这项工作：这不起作用：这是错误：问题答案：在当前代码内： Python 2.X 的Python 3.X 带有Selenium的Python 3.X（执行Javascript函数）修改后的版本起作用的原因是因为Wikipedia检查User-Agent是“流行的浏览器”
ajax GET请求出现403禁止错误

问题内容：每当我尝试从数据库中获取用户信息时，都会收到-error 消息。关于下面的代码，每当我尝试通过按Ajax测试按钮尝试请求时，它都无法运行并给我发出警报，但是在控制台中也给我一个-error。我不确定是否与Spring安全性有关？用户JSP页面：用户控制器类：问题答案：它通常是由Spring默认的CSRF保护引起的。例如，如果你使用JS代码中的DELETE HTTP请求，则还需

出现意外错误（类型=禁止，状态=403）。禁止

共有2个答案

相关问答

相关文章

相关阅读

相关工具

相关文档