尝试上载时CSRF令牌Spring 4 MVC无效
我正在尝试使用Spring MVC 4上载带有web应用程序的文件,但出现错误:
在请求参数“\u CSRF”或标头“X-CSRF-Token”上发现无效的CSRF令牌“null”。
Spring版本:
Spring版本4.1.7。发布
Spring安全4.0.1。发布
代码:
web.xml
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"
version="2.4">
<display-name>FATCA Web Application</display-name>
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>
/WEB-INF/spring-web-servlet.xml
</param-value>
</context-param>
<servlet>
<servlet-name>spring-web</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>spring-web</servlet-name>
<url-pattern>*.html</url-pattern>
</servlet-mapping>
</web-app>
spring web servlet。xml
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:p="http://www.springframework.org/schema/p"
xmlns:context="http://www.springframework.org/schema/context"
xmlns:mvc="http://www.springframework.org/schema/mvc"
xsi:schemaLocation="
http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/context
http://www.springframework.org/schema/context/spring-context-3.0.xsd
http://www.springframework.org/schema/mvc
http://www.springframework.org/schema/mvc/spring-mvc-3.0.xsd">
<context:property-placeholder location="classpath:webapp.properties" />
<context:annotation-config />
<context:component-scan base-package="com.opessoftware" />
<mvc:annotation-driven />
<bean id="messageSource"
class="org.springframework.context.support.ResourceBundleMessageSource">
<property name="basename" value="messages" />
</bean>
<bean id="viewResolver"
class="org.springframework.web.servlet.view.InternalResourceViewResolver">
<property name="viewClass"
value="org.springframework.web.servlet.view.JstlView" />
<property name="prefix">
<value>/WEB-INF/views/</value>
</property>
<property name="suffix">
<value>.jsp</value>
</property>
</bean>
</beans>
Settings.jsp
<form:form method="POST" action="uploadFile.html"
enctype="multipart/form-data" security="none">
<table style="width: 100%" border="1">
<tr>
<td colspan="1" style="text-align: left"><input
type="file" name="file" style="width: 100%;" /></td>
<td colspan="1" style="text-align: left"><input
type="submit" value=<spring:message code="uploadSettings" /> />
</td>
</tr>
</table>
</form:form>
提交名为test的文件后,发布请求有效负载内容。包含字符串“Test”的txt:
Content-Type: multipart/form-data; boundary=---------------------------83935555814334632461054528816
Content-Length: 368
-----------------------------83935555814334632461054528816
Content-Disposition: form-data; name="file"; filename="test.txt"
Content-Type: text/plain
Test
-----------------------------83935555814334632461054528816
Content-Disposition: form-data; name="_csrf"
41f3dc0a-b97f-4dac-bc49-21e02be53818
-----------------------------83935555814334632461054528816--
共有1个答案
我通过遵循Spring Security 3.2、CSRF和多部分请求的公认答案的第二点中的一般建议,但使用Spring Security 4.0.1,解决了这个问题。发布,而不是3.2版。
将Web应用程序从Servlet API 2.4更新到Servlet API 3.0:
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee
http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
version="3.0">
....
</web-app>
使用基于Java配置,创建了一个Standard ServletMultipartResolver,它使用Servlet 3.0的多部分处理,并且不需要Commons-fileupload。请注意,最初的实现忽略了显式创建任何多部分解析器,尽管它确实在Maven项目中包含了依赖Commons-fileupload。
@Configuration
public class WebApplicationConfiguration {
@Bean
public MultipartResolver multipartResolver() {
return new StandardServletMultipartResolver();
}
}
在DispatcherServlet中添加了“multipart config”:
在web中。xml:
<servlet>
<servlet-name>spring-web</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<load-on-startup>1</load-on-startup>
<multipart-config>
<location>/tmp</location>
<max-file-size>1000000</max-file-size>
<max-request-size>1000000</max-request-size>
<file-size-threshold>10000</file-size-threshold>
</multipart-config>
</servlet>
使用Java:
public class SecurityWebApplicationInitializer extends AbstractSecurityWebApplicationInitializer {
public SecurityWebApplicationInitializer() {
super(SecurityConfiguration.class);
}
@Override
protected void beforeSpringSecurityFilterChain(ServletContext servletContext) {
final XmlWebApplicationContext appContext = new XmlWebApplicationContext();
appContext.setConfigLocation("/WEB-INF/spring-web-servlet.xml");
final ServletRegistration.Dynamic registration = servletContext.addServlet("dispatcher",
new DispatcherServlet(appContext));
registration.setLoadOnStartup(1);
registration.addMapping("/");
registration.setMultipartConfig(new MultipartConfigElement("", 1000000, 1000000, 100000));
}
}
从Maven项目中删除了依赖项commons fileupload。
-
此文件包含上载文件的表单 上传orm.jsp 我的控制器方法是 我上传时出现以下错误: HTTP状态403-在请求参数“\u CSRF”或标头“X-CSRF-Token”上发现无效的CSRF令牌“null” 我也用过Spring安全。但是我总是给出同样的错误。我尝试了很多,但无法解决它。你能帮忙解决这个问题吗?
-
问题内容: 每次尝试提交表单时,我都会收到此错误消息: CSRF令牌无效。请尝试重新提交表格 我的表单代码是这样的: 有任何想法吗? 问题答案: 您需要在表单中添加,即 截至目前,您的表单缺少CSRF令牌字段。如果您使用树枝形状表单函数来呈现表单,则将自动为您呈现CSRF令牌字段,但是您的代码显示您正在使用原始HTML来呈现表单,例如,因此您必须手动呈现该字段。 或者,只需在表单的结束标记之前添加
-
本页描述了解释CSRF攻击的用例(16.1): https://docs.spring.io/spring-security/site/docs/current/reference/html/csrf.html 但是,如果用户确实登录了银行的网站,那么邪恶的网站难道不可能发出GET请求以获取新的CSRF令牌,并在根本不需要用户的情况下撰写帖子吗? 答案必须是否定的,否则CSRF令牌将毫无用处,但我
-
我对Symfony2中的令牌形式有问题。(2.7.0) 行动: 我的表格: 当我测试表单时,总是显示相同的错误:“CSRF令牌无效。请尝试重新提交表单”。我确信输入隐藏在表单中。这是一种观点: 谁能帮帮我? 我测试禁用csrf保护,像这样: 行动: 形式: 但是出现了一个不同的错误:此表单不应包含额外的字段。因为令牌的隐藏输入,它还在表单中,我不知道要删除它。 谢谢你!
-
有一个现有项目建立在Laravel 5.2.5和angularjs 1.7.4的基础上。这些页面不是由laravel生成的html页面,只是API。本项目应使用CSRF保护。 Angular文档说,$http服务将自动设置X-XSRF-TOKEN头。 执行XHR请求时,$http服务从cookie中读取令牌(默认情况下为XSRF-token),并将其设置为http头(默认情况下为X-XSRF-to
-
我在spring中有一个API示例,它提供了一些服务,我正试图用OAuth2保护它们。 当我使用时,具有安全性的API似乎以某种方式工作,但现在我的所有测试都失败了,因此,我正在查看丢失的如何模拟安全性的示例。 我目前正在尝试使这个示例运行(策略#1)http://engineering.pivotal.io/post/faking_oauth_sso/ 这应该很容易,但出于某种原因,我遇到了一些