Spring Security CookieBasedCSrf不工作
我正在开发一个带有Angular2前端的RESTful Spring后端。我将访问令牌(JWT实现)存储在httponlycookie中。为了保护自己免受对post请求的XSRF攻击,我需要在所有页面上启用XSRF保护,登录页面除外。根据这里的Spring Security指南,我启用了cookiecsrftokenrepository。
但是,当我访问公共API(get)时,没有设置XSRF-TOKEN。此外,当我从Angular2提交我的登录表单数据时,系统提示一个“无效csrf令牌”错误。下面是我的WebSecurityConfig:
http
.csrf()
.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
.and()
.exceptionHandling()
.authenticationEntryPoint(this.authenticationEntryPoint)
.and()
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and()
.authorizeRequests()
.antMatchers(TOKEN_REFRESH_ENTRY_POINT).permitAll() // Token refresh end-point
.antMatchers(TOKEN_CSRF_ENTRY).permitAll()
.and()
.authorizeRequests()
.antMatchers(TOKEN_BASED_AUTH_ENTRY_POINT).authenticated() // Protected API End-points
.and()
.cors()
.and()
.addFilterBefore(buildAjaxLoginProcessingFilter(), UsernamePasswordAuthenticationFilter.class)
.addFilterBefore(buildJwtTokenAuthenticationProcessingFilter(), UsernamePasswordAuthenticationFilter.class);
共有1个答案
您不应该通过HTTPget获取CSRF令牌,请参阅Spring Security Reference:
使用正确的HTTP谓词
防止CSRF攻击的第一步是确保您的网站使用正确的HTTP谓词。具体地说,在Spring Security的CSRF支持发挥作用之前,您需要确定您的应用程序正在对任何修改状态的内容使用PATCH、POST、PUT和/或DELETE。
为了防止伪造登录请求,日志表单也应该防止CSRF攻击。
但您可以将某些URL排除在CSRF保护之外,并将某些HTTP谓词包含在CSRF保护中,请参阅Spring Security Reference:
您还可以指定一个自定义的RequestMatcher来确定哪些请求受CSRF保护(也就是说,您可能不关心是否利用了注销)。简而言之,如果Spring Security的CSRF保护的行为不完全符合您的要求,您可以自定义该行为。有关如何使用XML进行这些自定义的详细信息,请参阅第41.1.18节“
csrfconfigureerjavadoc。
-
我想在菜单栏文本被选中时更改它的颜色。 这里可能出了什么问题? 我尝试使用伪类':active',但没有得到应用。其中as':Hover'正在工作。 我还尝试使用'Router LinkActive',它应该添加类'Active-Link',但这也不起作用。 我在下面给出了HTML、SCCS和TS代码:
-
我编写了一组简单的类,向一位朋友演示如何为AOP(而不是xml配置)使用注释。我们无法使@ComponentScan工作,并且AnnotationConfigApplicationContext getBean的行为也不正常。我想明白两件事。请参阅下面的代码: PersonOperationSI.java PersonOperations.java PersonOperationsConfigCl
-
我正在Eclipse Neon中使用Hibernate工具(JBoss tools 4.4.0.Final)。现在,我想将数据库表反向工程为POJO对象和Hibernate映射文件。 我遵循了一些关于如何设置Eclipse来生成POJO对象的教程。在我运行配置之前,一切看起来都很好。什么都没发生,也没有抛出错误。有人能帮我吗?数据库是一个微软SQL服务器2014。 我的逆向工程配置文件看起来像:
-
我正在尝试使用codeigniter insert\u batch将多行插入到我的数据库表中。根据错误报告,似乎没有设置表列。只是阵列的数量: 我的看法是: 我的控制器: 和型号:
-
我尝试使用StreamWriter.WriteLine(不是静态地)将几行代码一次写到。txt文件中。 每个播放器对象都是字符串cosnatants。如果我使用不同的文件名(也称为BasicTestInfo2.txt),它会在bin.debug中创建该文件,但它是空的。我知道我到达了using块的内部(我在里面放了一个console.writeline),我知道我想要截断,这就是为什么我对appe
-
我正在尝试使用yii2邮件组件发送电子邮件。 配置web。php 还有我的代码。 我收到了这个错误。 Swift\u TransportException预期响应代码为250,但收到代码“535”,消息“535-5.7.8用户名和密码不被接受。有关详细信息,请访问535 5.7.8https://support.google.com/mail/?p=BadCredentialsa13-v6sm41
-
问题内容: 似乎不起作用,但确实起作用。有什么想法吗? 问题答案: 您不能在Java中将基本类型用作通用参数。改为使用: 使用自动装箱/拆箱,代码几乎没有区别。自动装箱意味着您可以编写: 代替: 自动装箱意味着将第一个版本隐式转换为第二个版本。自动拆箱意味着您可以编写: 代替: 如果未找到键,则隐式调用意味着将生成一个,例如: 原因是类型擦除。例如,与C#不同,泛型类型不会在运行时保留。它们只是显