docong 2015-02-07 10:50 采纳率: 100%
浏览 9766
已采纳

关于java spring security CSRF的问题

在spring mvc showcase中使用了CSRF,在home.jsp中 有这样的标准做法:

<!--
    Used for including CSRF token in JSON requests
    Also see bottom of this file for adding CSRF token to JQuery AJAX requests
-->
<meta name="_csrf" content="${_csrf.token}"/>
<meta name="_csrf_header" content="${_csrf.headerName}"/>


......

$("meta[name='_csrf']").attr("content");
var token = "hello";
var header = $("meta[name='_csrf_header']").attr("content");
$(document).ajaxSend(function(e, xhr, options) {
    xhr.setRequestHeader(header, token);
});

但是我发现,即便我在token中 乱写一个,或者部分,请求仍然能收到正常响应,请问是我对CSRF理解错了么? 如果我乱写一个,应该返回错误才对啊!
  • 写回答

1条回答 默认 最新

  • docong 2015-02-07 12:16
    关注

    ok,自己解决了。
    Spring security 默认的org.springframework.security.web.csrf.CsrfFilter 对于HTTP请求有如下的判断:
    private Pattern allowedMethods = Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$");
    因此如果我改成hello之后,必须要通过put或者post请求才能测试的出来。

    很多讲CSRF原理的文章,使用的是GET来进行举例,Spring Security的实现上有这样的不同,导致我查了半天。

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

悬赏问题

  • ¥15 树莓派与pix飞控通信
  • ¥15 自动转发微信群信息到另外一个微信群
  • ¥15 outlook无法配置成功
  • ¥30 这是哪个作者做的宝宝起名网站
  • ¥60 版本过低apk如何修改可以兼容新的安卓系统
  • ¥25 由IPR导致的DRIVER_POWER_STATE_FAILURE蓝屏
  • ¥50 有数据,怎么建立模型求影响全要素生产率的因素
  • ¥50 有数据,怎么用matlab求全要素生产率
  • ¥15 TI的insta-spin例程
  • ¥15 完成下列问题完成下列问题