Spring Security tokenRepository CSRF设置p:cookieHttpOnly="false“获取错误
Spring Security是一个开源的安全框架,用于在Java应用程序中实现身份验证和授权。它提供了一套功能强大的机制来保护应用程序免受各种安全威胁。
在Spring Security中,tokenRepository是用于存储和管理令牌(Token)的接口。CSRF(Cross-Site Request Forgery)是一种常见的Web攻击方式,它利用用户在其他网站上的身份验证信息来伪造请求,从而执行未经授权的操作。为了防止CSRF攻击,可以通过设置p:cookieHttpOnly="false"来禁用HttpOnly属性,使得浏览器可以通过JavaScript访问和操作Cookie。
然而,禁用HttpOnly属性可能会增加应用程序受到XSS(Cross-Site Scripting)攻击的风险。XSS攻击是一种利用恶意脚本注入网页中的攻击方式,攻击者可以通过注入恶意脚本来窃取用户的敏感信息。因此,建议在设置p:cookieHttpOnly属性时,仔细评估应用程序的安全需求和风险。
对于Spring Security的CSRF设置,可以参考以下步骤:
- 在Spring Security配置文件中,配置CSRF保护:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.csrf()
.csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
.and()
// 其他配置...
}
}- 在前端页面中添加CSRF令牌:
<head>
<meta name="_csrf" th:content="${_csrf.token}"/>
<meta name="_csrf_header" th:content="${_csrf.headerName}"/>
</head>
<body>
<!-- 页面内容 -->
<script th:inline="javascript">
var csrfToken = /*[[${_csrf.token}]]*/ '';
var csrfHeader = /*[[${_csrf.headerName}]]*/ '';
// 使用csrfToken和csrfHeader进行请求
</script>
</body>在上述代码中,使用了Spring Security提供的CookieCsrfTokenRepository.withHttpOnlyFalse()方法来配置CSRF保护,并将CSRF令牌和头信息添加到前端页面中。
关于Spring Security的CSRF设置和使用,可以参考腾讯云的产品文档:Spring Security CSRF设置。
需要注意的是,本回答没有提及具体的腾讯云产品和产品介绍链接地址,因为要求答案中不能提及亚马逊AWS、Azure、阿里云、华为云、天翼云、GoDaddy、Namecheap、Google等流行的云计算品牌商。
相关·内容
我得到了cookieHttpOnly = "false“的错误。“未绑定与元素类型"b:bean”关联的属性"p:cookieHttpOnly“的前缀"p”。“ <cont
浏览 23提问于2020-02-06得票数 0
回答已采纳
2回答
我正在建立一个使用spring安全和胸腺叶的web应用程序,我让它与登录和注销工作,但我有一些问题,当我尝试注册为最终用户。我收到一个无效的csrf令牌错误。我是个新手,我需要一些帮助。$log.info("Error: status =" + status + ", body =" + JSON.stringify(data)); }
和错误: status =403, body ={"timestamp":14306453565
浏览 1提问于2015-05-03得票数 1
1回答
我正在我的web应用程序中实现CSRF保护。Spring验证接收到的XSRF令牌,并允许/拒绝请求。但是它们是一个约束,这个XSRF必须是httpOnly是false,这样客户端JavaSc
浏览 0提问于2019-04-18得票数 0
回答已采纳
/j_spring_security_check", return response;: function(response, ioArgs) { }在服务器端,Springauthenticate" username-parameter="j_username&quo
浏览 4提问于2017-01-18得票数 0
我试图禁用特定网址的Csrf。("//j_spring_cas_security_check".equals(request.getRequestURI())); .requireCsrfProtectionMatcher.csrfTokenRepository(csrfTokenRepository());
如果我注释掉了requireCsrfProtectionMatcher,或者简单地在所有匹配器中返回false<
浏览 3提问于2015-06-28得票数 1
回答已采纳
4回答
问题是,当我尝试用AngularJS发布表单时,我一直被错误403 (访问被拒绝)所阻塞。http://www.springframework.org/schema/security/spring-security.xsd>
浏览 6提问于2015-07-13得票数 5
回答已采纳
1回答
我有一个Spring应用程序,在那里我有自定义的预认证过滤器。我想忽略安全的健康URL,但我不能这样做。下面是我的配置。userDetailsService;
private IUserIdentityService iUserIdentityService;
filter.setContinueFilterChainOnUnsuccessfulAu
浏览 4提问于2021-03-25得票数 1
1回答
spring: enabled: falseCould not verify the provided CSRF token because your session was not'org.springframework.security:spring-security</
浏览 3提问于2020-03-17得票数 2
但是,由于我不知道Spring-security是如何在何处获取明文密码并在其上执行BCrypt来检查与数据库的对应关系,所以我无法使用明文密码来创建一个MD5和。(false); p.setUsername(p.getUsername().toLowerCase((p.getUsername(), p.getFirs
浏览 4提问于2015-03-02得票数 1
回答已采纳
2回答
我有三个spring引导应用程序运行在同一台具有不同路径的服务器上。它们都公开了API端点,其中一个还服务于web资源,如HTML、JavaScript和CSS。org.springframework.security.web.csrf.CookieCsrfTokenRepository中运行得很好。" class="org.springframework.security.web.csrf.CookieCsrfTokenRepository">
<bea
浏览 2提问于2017-10-31得票数 4
回答已采纳
我创建了一个简单的JSF登录页面,并试图将其与spring安全性集成。id="j_password" value="#{loginBean.password}" />
<h:commandButton value="Submit" action="#{j_spring_security_checkId:</label><input id="j_idt6:j_username" type=&q
浏览 2提问于2013-05-24得票数 6
回答已采纳
我现在正在学习Security,我已经看到了许多不同的例子。我知道CSRF是什么,Spring Security默认启用它。我想知道的是这种定制。.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()) .authorizeRequestsantMatchers("/login").permitAll()
.anyReque
浏览 17提问于2020-06-29得票数 12
回答已采纳
我正在尝试使用Spring、Eureka、Zuul和Spring获得一个Zuul反向代理设置。具体来说,我正在尝试从Zuul后面的OAuth服务器获取一个OAuth承载令牌。我知道这一点,因为我会让CSRF的错误在任何请求后提出。设置security.enable-csrf=false没有禁用它(我发现这很奇怪)。设置security.basic.enabled=false
浏览 5提问于2016-07-11得票数 4
回答已采纳
1回答
-- Spring Security --> <groupId>org.springframework.security</groupId><artifactId>spring-security-web</artifactId>
<version>${springsecurity.version}</version>>
浏览 1提问于2018-02-23得票数 0
对于使用symfony/form作为独立组件的security-csrf以及与PHP内置服务器一起运行的security-csrf,我有一个问题。我几乎不记得在Symfony框架中有这样的问题。重写这里提到的webmozart示例,
csrf令牌是用树枝桥生成的,但是在提交表单时,在调用$form->isValid()时会出现invalid csrf错误。默认情况下启用csrf保护,设置为false
浏览 1提问于2020-08-25得票数 1
回答已采纳
我在pom.xml中使用了以下内容,它实际上是保护root 路由的安全,我看到身份验证过程在浏览器中启动了几秒钟 <filter-name>CsrfFilter</filter-name> </filter> <filter-name>CsrfFilt
浏览 0提问于2018-03-01得票数 10
回答已采纳
/schema/securityhttp://www.springframework.org/**" security="none" />
<http auto-config="false
浏览 5提问于2016-04-21得票数 1
回答已采纳
我想在我的CodeIgniter应用程序上使用Ajax (带有JQuery插件数据表),但是当我输入控制器的地址时,我得到了一个403错误。我使用的是Codeigniter的3.1.8版本。{ "data": "col1" }, { "data": "col3" },} );
我尝试将$config‘’csrf_regenerate‘设置
浏览 0提问于2018-05-26得票数 0
我已经实现了spring安全来保护我们网站的部分内容。我使用DB (MongoDB)来存储用户名/密码。我实现了org.springframework.security.core.userdetails.UserDetailsService来从数据库中查找帐户详细信息。
浏览 1提问于2012-06-25得票数 5
回答已采纳
我正在使用Spring Security 4.2.4和一个JSF应用程序。 <center> <p:commandBu
浏览 0提问于2018-02-27得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
腾讯会议活动推荐
腾讯云开发者
