Spring Boot + Spring Security解决POST方式下的CSRF问题

以下配置基于spring boot版本1.4.2.RELEASE,默认引入的spring security版本为4.1.3.RELEASE,页面模板采用thymeleaf。

问题现象:
HTTP Status 403-Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.

关于CSRF的描述,此处不再赘述,解决方案如下。
第1、2、3种方案测试通过,第四种方式未做测试。

1.定义headers,post方式提交的时候带上headers的信息。

var headers = {};
headers['X-CSRF-TOKEN'] = "[[${_csrf.token}]]";
$.ajax({
    url: url,
    type: "POST",
    headers: headers,
    dataType: "json",
    success: function(result) {
    }
});

2.直接作为参数提交。

$.ajax({
    url: url,
    data: {
        "[[${_csrf.parameterName}]]": "[[${_csrf.token}]]"
        },
    type: "POST",
    dataType: "json",
    success: function(result) {
    }
});

3.form提交的时候,如果出现csrf问题,可将该参数作为隐藏项。跟第二种方式类似。

type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}">

4.在 @EnableWebSecurity配置中,禁用CSRF。

http.csrf().disable();


作者:吴俊达
链接:https://www.jianshu.com/p/9a7b8b441b24
來源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

你可能感兴趣的:(spring,boot)