本文共 2138 字,大约阅读时间需要 7 分钟。
开启 csrf 后 列表页面没有数据
页面console.log(403)
HTTP Status 403-Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.
首先,科普一下,什么是"CSRF"?
这是一个web应用安全的问题,CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack” 或者Session Riding,***方通过伪造用户请求访问受信任站点。
客户端与服务端在基于http协议在交互的数据的时候,由于http协议本身是无状态协议,后来引进了cookie的 方式进行记录服务端和客户端的之间交互的状态和标记。cookie里面一般会放置服务端生成的session id(会话ID)用来识别客户端访问服务端过 程中的客户端的身份标记。
再科普一下,什么事"跨域" ?
同一个ip、同一个网络协议、同一个端口,三者都满足就是同一个域,否则就有跨域问题 ,在跨域 的情况下 session id可能会被恶意第三方劫持,此时劫持这个session id的第三方会根据这个session id向服务器发起请求,此时服务器收到这个请求会 认为这是合法的请求,并返回根据请求完成相应的服务端更新。
1)如果这个http请求是通过get方式发起的请求,意味着它只是访问服务器 的资源,仅仅只是查询,没有更新服务器的资源,所以对于这类请求,spring security的防御策略是允许的;
2)如果这个http请求是通过post请求发起的, 那么spring security是默认拦截这类请求的,因为这类请求是带有更新服务器资源的危险操作,如果恶意第三方可以通过劫持session id来更新 服务器资源,那会造成服务器数据被非法的篡改,所以这类请求是会被Spring security拦截的,在默认的情况下,spring security是启用csrf 拦截功能的,这会造成,在跨域的情况下,post方式提交的请求都会被拦截无法被处理(包括合理的post请求),前端发起的post请求后端无法正常 处理,虽然保证了跨域的安全性,但影响了正常的使用,如果关闭csrf防护功能,虽然可以正常处理post请求,但是无法防范通过劫持session id的非法的post请求,所以spring security为了正确的区别合法的post请求,采用了token的机制 。
3)我在科普下:spring Security 3默认关闭csrf,Spring Security 4默认启动了csrf
4)如果不采用csrf,可禁用security的csrf ,如下
@Overrideprotected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() ……………… .csrf().disable(); } ## 4、重点解决问题
我想开启且有效,如下配置:
@Overrideprotected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() ……………… .csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()); } ###H5端怎么做
说明下网上方法大致有三种,我这里结合我们自己的平台(SpringBoot[v1.5.12]+SpringSecurity[v4.2.5]+ Thymeleaf[v2.1.3])是这么做的
//全局index页面 不需要每个页面 都写
var token = $("meta[name='_csrf']").attr("content");var header = $("meta[name='_csrf_header']").attr("content");$(document).ajaxSend(function(e, xhr, options) { xhr.setRequestHeader(header, token); }); 单独AJAX提交思考局部刷新
var headers = {}; headers['X-CSRF-TOKEN'] = "[[${_csrf.token}]]"; //参数 headers: headers 转载于:https://blog.51cto.com/360douruanliang/2116591