可以向Spring Security CSRF的.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())添加同站点属性吗
可以向Spring Security CSRF的.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())添加同站点属性。在Spring Security中,CSRF(Cross-Site Request Forgery)是一种常见的安全攻击方式,用于伪造用户的请求。为了防止CSRF攻击,Spring Security提供了csrfTokenRepository来生成和验证CSRF令牌。
.csrfTokenRepository方法用于配置CSRF令牌的存储库,其中CookieCsrfTokenRepository是Spring Security提供的一个实现类。通过调用.withHttpOnlyFalse()方法,可以设置生成的CSRF令牌的Cookie为同站点属性。
同站点属性是指Cookie只能在同一站点下进行传输,不能被其他站点访问。这样可以增加CSRF攻击的难度,提高系统的安全性。
添加同站点属性的示例代码如下:
.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())优势:
- 增加系统的安全性,防止CSRF攻击。
- 限制Cookie只能在同一站点下进行传输,提高安全性。
应用场景:
- 任何需要防止CSRF攻击的Web应用程序。
推荐的腾讯云相关产品和产品介绍链接地址:
- 腾讯云Web应用防火墙(WAF):https://cloud.tencent.com/product/waf
请注意,以上答案仅供参考,具体的配置和推荐产品可能因实际需求和环境而异。
相关·内容
2回答
我的安全配置有以下一行:
...csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())...它会将每个请求的csrf cookie发送回客户端。此cookie未设置同名站点属性。是否也可以添加same-site属性?我查看了该类中的一些方法,根据我的知识,没有任何关于额外属性的<
浏览 73提问于2020-02-03得票数 1
回答已采纳
MediaType.APPLICATION_JSON ) .with(csrfjsonPayload ) .andExpect( status().isOk() );
我需要导入(org.springframework.security.test.web.servlet.request.SecurityMockMvcRequestPostProcess
浏览 2提问于2021-09-14得票数 0
2回答
我正在使用Spring作为will应用程序的后端,并将使用Angular作为前端。我正在尝试使用CSRF的保护,只登录,在与一些修改。我正在尝试实现的是,Angular首先将设置/init标记cookie的“CSRF”,然后它可以调用登录,这是CSRF保护。当我调用/init方法时,它会返回一个CSRF令牌,但是在那之后,当我调用/login时,我会一直得到403禁止。的</em
浏览 20提问于2018-08-03得票数 0
我需要将csrf保护添加到我现有的spring boot应用程序中,其中angularJS是客户端框架。
浏览 19提问于2019-11-27得票数 0
我正在尝试使用mkyong示例编写我的测试spring安全应用程序。Spring Security: 4.0.0.RC1我有以下安全配置: <intercept-urlToken 'null' was found on the request parameter
'_csrf' or header &#x
浏览 8提问于2015-01-26得票数 27
我的系统使用AngularJS 1.6和Spring Boot2.0。我的前端只是一个简单的表单,客户可以用它来购买活动门票。现在我想启用csrf保护,但我似乎无法使其工作。
我尝试遵循本教程,但没有使用身份验证部分:。当我使用postman时,我已经可以在cookie中看到XSRF-TOKEN,但不知何故,我的后端阻止了传入的POST。据我所知,angular自动使用了一个收到的XSRF令牌,所以在实现sp
浏览 0提问于2018-06-07得票数 0
我正在尝试为网关、UI、资源构建一个完整的。每件事都做得很完美,除了我试着写文章的时候。当我宣布WebSecurityConfigurerAdapter整
浏览 2提问于2017-06-16得票数 0
回答已采纳
2回答
实际上,我已经在配置适配器.csrf().disable()中禁用了csrf,但我想修改一下。如何在react和springboot之间处理csrf令牌?我认为我应该通过我的axios调用传递令牌,但是我如何获得它呢? 谢谢
浏览 22提问于2019-01-24得票数 9
回答已采纳
我有用、Range2、和基于Java的后端编写的UI,它在SpringSecurity之上使用OpenID连接身份验证。{
浏览 12提问于2017-07-21得票数 2
回答已采纳
2回答
角2弹簧安全CSRF令牌
、、、
大家好,我很难为我的应用程序设置一个安全解决方案!!因此,我有一个REST后端,它在上运行并使用Spring开发,而在前端,我有一个在上运行的角2应用程序(最新版本A.K.A.角4)。filterConfig)}public class CSRF
浏览 7提问于2017-04-11得票数 2
问题是如何让CSRF令牌在Spring Security和Angular之间工作。根据文档,我的印象是CSRF应该是自动启用的,但事实似乎并非如此。我使用Spring Bo
浏览 0提问于2014-12-13得票数 16
回答已采纳
我遵循的HTTP身份验证,将授权头添加到$http标头中: authorization: "Basic " + btoa(this.login + ":" +我认为Spring Security应该放弃使用HTTP 401 Unauthorized或类似的东西,但是它在没有授权头的情况下工作。当我从另一个浏览器窗口注销并重新加载作业时,就不会加载作业了。antMatchers("/interviews&
浏览 2提问于2016-07-24得票数 3
回答已采纳
对于我的项目,我试图做一个简单的服务,可以做张贴,获取和删除请求。我对CSRF添加的额外安全层不感兴趣,所以我希望关闭它。我知道在默认情况下它应该关闭,但它似乎没有行为。: /users/insert at position 4 of 15 in additional filter chain; firing Filter: 'CsrfFilter'
o.s.security.web.csrf.CsrfFilte
浏览 5提问于2020-07-08得票数 1
回答已采纳
3回答
我遵循这里的指南:构建我的rest服务示例,现在我正在尝试启用CSRF保护。我看到默认情况下应该启用它,所以如果我不包括:
在我的WebSecurityConfigurerAdapter配置中,默认情况下应该启用CSRF保护,问题是X令牌没有生成,也没有以任何方式包含在我的HTTP响应中。我应该做什么,让x- csrf令牌生成并包括在响应中,当然,csrf保护完全起作用?我注意到,使
浏览 0提问于2016-03-28得票数 11
:@Bean在中添加以下控制器类: at org.springframework.security.web.csrf.CsrfFilter.doFilterInternal(CsrfFilter.java:96)注意:显然,/uaa/logout是一个不同于/oauth/rev
浏览 8提问于2016-04-18得票数 9
3回答
我将我的项目升级到Spring 3和SpringSecurity6,但是升级后CSRF保护不再起作用。(csrf -> csrf15:10:5
浏览 40提问于2022-11-15得票数 3
回答已采纳
1回答
弹簧角为2的CSRF
、、、
我读过关于弹簧的方法(尽管指南描述了角度1), it意味着,使用.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse我的http.post添加了一个授权头并添加了RequestOption "withCredentials“
它发送三个cookie,两个JSessionID和一个XSRF令牌,它不同于通过选项-调用如果Spring只检查提供的
浏览 0提问于2016-10-11得票数 1
回答已采纳
().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()) implementation 'org.springframework.boot:spring-boot-starter-oauth2-client'org.springframework.boot:spring-b
浏览 0提问于2019-03-26得票数 0
回答已采纳
1回答
我正在遵循Spring.io指南中关于Spring Security的教程。注销和登录函数工作得很好,但是当我在WebSecurityConfigurerAdapter中添加以下代码行时,它不能按预期工作。"/").permitAll() .and() .c
浏览 0提问于2017-01-02得票数 5
回答已采纳
我正在启用csrf保护,并使用spring引导设置XSRF令牌cookie。
protected void configure
浏览 0提问于2019-02-02得票数 2
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
