docong 2015-02-07 10:50 采纳率: 100%
浏览 9766
已采纳

关于java spring security CSRF的问题

在spring mvc showcase中使用了CSRF,在home.jsp中 有这样的标准做法:

<!--
    Used for including CSRF token in JSON requests
    Also see bottom of this file for adding CSRF token to JQuery AJAX requests
-->
<meta name="_csrf" content="${_csrf.token}"/>
<meta name="_csrf_header" content="${_csrf.headerName}"/>


......

$("meta[name='_csrf']").attr("content");
var token = "hello";
var header = $("meta[name='_csrf_header']").attr("content");
$(document).ajaxSend(function(e, xhr, options) {
    xhr.setRequestHeader(header, token);
});

但是我发现,即便我在token中 乱写一个,或者部分,请求仍然能收到正常响应,请问是我对CSRF理解错了么? 如果我乱写一个,应该返回错误才对啊!
  • 写回答

1条回答 默认 最新

  • docong 2015-02-07 12:16
    关注

    ok,自己解决了。
    Spring security 默认的org.springframework.security.web.csrf.CsrfFilter 对于HTTP请求有如下的判断:
    private Pattern allowedMethods = Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$");
    因此如果我改成hello之后,必须要通过put或者post请求才能测试的出来。

    很多讲CSRF原理的文章,使用的是GET来进行举例,Spring Security的实现上有这样的不同,导致我查了半天。

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

悬赏问题

  • ¥15 SQLServer怎么录入下标
  • ¥100 无网格伽辽金方法研究裂纹扩展的程序
  • ¥15 错误于library(org.Hs.eg.db): 不存在叫‘org.Hs.eg.db’这个名称的程序包,如何解决?
  • ¥60 求一个图片处理程序,要求将图像大小跟现实生活中的大小按比例联系起来的
  • ¥50 求一位精通京东相关开发的专家
  • ¥100 求懂行的大ge给小di解答下!
  • ¥15 pcl运行在qt msvc2019环境运行效率低于visual studio 2019
  • ¥15 MAUI,Zxing扫码,华为手机没反应。可提高悬赏
  • ¥15 python运行报错 ModuleNotFoundError: No module named 'torch'
  • ¥100 华为手机私有App后台保活