Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'
Spring Security :HTTP Status 403-Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.前端
缘由:
1.Spring Security 4.0以后,引入了CSRF,默认是开启。CSRF默认支持的方法: GET|HEAD|TRACE|OPTIONS,不支持POST。
Spring Security 3默认关闭csrf,Spring Security 4默认启动了csrf。 web
2.什么是csrf:
这是一个web应用安全的问题,CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack” 或者Session Riding,攻击方经过伪造用户请求访问受信任站点。
咱们知道,客户端与服务端在基于http协议在交互的数据的时候,因为http协议自己是无状态协议,后来引进了cookie的 方式进行记录服务端和客户端的之间交互的状态和标记。cookie里面通常会放置服务端生成的session id(会话ID)用来识别客户端访问服务端过 程中的客户端的身份标记。ajax
在跨域 (科普一下:同一个ip、同一个网络协议、同一个端口,三者都知足就是同一个域,不然就有跨域问题) 的状况下, session id可能会被恶意第三方劫持,此时劫持这个session id的第三方会根据这个session id向服务器发起请求,此时服务器收到这个请求会 认为这是合法的请求,并返回根据请求完成相应的服务端更新。spring
若是这个http请求是get方式发起的请求,意味着它只是访问服务器 的资源,仅仅只是查询,没有更新服务器的资源,因此对于这类请求,spring security的防护策略是容许的;后端
若是这个请求是经过post请求发起的, 那么spring security是默认拦截这类请求的,由于这类请求是带有更新服务器资源的危险操做,若是恶意第三方能够经过劫持session id来更新 服务器资源,那会形成服务器数据被非法的篡改,因此这类请求是会被Spring security拦截的,在默认的状况下,spring security是启用csrf 拦截功能的,这会形成,在跨域的状况下,post方式提交的请求都会被拦截没法被处理(包括合理的post请求),前端发起的post请求后端没法正常 处理,虽然保证了跨域的安全性,但影响了正常的使用,若是关闭csrf防御功能,虽然能够正常处理post请求,可是没法防范经过劫持session id的非法的post请求,因此spring security为了正确的区别合法的post请求,采用了token的机制。跨域
在跨域的场景下,客户端访问服务端会首先发起get请求,这个get请求在到达服务端的时候,服务端的Spring security会有一个过滤 器 CsrfFilter去检查这个请求,若是这个request请求的http header里面的X-CSRF-COOKIE的token值为空的时候,服务端就好自动生成一个 token值放进这个X-CSRF-COOKIE值里面,客户端在get请求的header里面获取到这个值,若是客户端有表单提交的post请求,则要求客户端要 携带这个token值给服务端,在post请求的header里面设置_csrf属性的token值,提交的方式能够是ajax也能够是放在form里面设置hidden 属性的标签里面提交给服务端,服务端就会根据post请求里面携带的token值进行校验,若是跟服务端发送给合法客户端的token值是同样的,那么 这个post请求就能够受理和处理,若是不同或者为空,就会被拦截。因为恶意第三方能够劫持session id,而很难获取token值,因此起到了 安全的防御做用。安全
解决方案:
若是不采用csrf,可禁用security的csrf
Java注解方式配置:加上 .csrf().disable()服务器
public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests().antMatchers("/").access("hasRole('READER')") .antMatchers("/*").permitAll() .and() .formLogin() .loginPage("/login") .failureUrl("/login?error=true"); http.csrf().disable(); } }
- 1. Cross Site Request Forgery (CSRF)--spring security -转
- 2. csrf token missing or incorrect
- 3. HttpServlet was not found on the Java
- 4. Unrecognized token 'xxxx': was expecting ('true', 'false' or 'null')
- 5. invalid character found in the request target 异常
- 6. [已解决]CSRF verification failed. Request aborted. CSRF token missing or incorrect.
- 7. NoSuchMethodError: The getter 'inputs' was called on null.
- 8. The superclass "javax.servlet.http.HttpServlet" was not found on the Java Build
- 9. Type handler was null on parameter mapping for property 'products'. It was either not specified and/
- 10. Detail about CSRF token fetch request
- 更多相关文章...
- • ADO Parameter 对象 - ADO 教程
- • ASP Request 对象 - ASP 教程
- • PHP Ajax 跨域问题最佳解决方案
- • Java 8 Stream 教程
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 升级Gradle后报错Gradle‘s dependency cache may be corrupt (this sometimes occurs
- 2. Smarter, Not Harder
- 3. mac-2019-react-native 本地环境搭建(xcode-11.1和android studio3.5.2中Genymotion2.12.1 和VirtualBox-5.2.34 )
- 4. 查看文件中关键字前后几行的内容
- 5. XXE萌新进阶全攻略
- 6. Installation failed due to: ‘Connection refused: connect‘安卓studio端口占用
- 7. zabbix5.0通过agent监控winserve12
- 8. IT行业UI前景、潜力如何?
- 9. Mac Swig 3.0.12 安装
- 10. Windows上FreeRDP-WebConnect是一个开源HTML5代理,它提供对使用RDP的任何Windows服务器和工作站的Web访问
- 1. Cross Site Request Forgery (CSRF)--spring security -转
- 2. csrf token missing or incorrect
- 3. HttpServlet was not found on the Java
- 4. Unrecognized token 'xxxx': was expecting ('true', 'false' or 'null')
- 5. invalid character found in the request target 异常
- 6. [已解决]CSRF verification failed. Request aborted. CSRF token missing or incorrect.
- 7. NoSuchMethodError: The getter 'inputs' was called on null.
- 8. The superclass "javax.servlet.http.HttpServlet" was not found on the Java Build
- 9. Type handler was null on parameter mapping for property 'products'. It was either not specified and/
- 10. Detail about CSRF token fetch request