关于java spring security CSRF的问题

在spring mvc showcase中使用了CSRF,在home.jsp中 有这样的标准做法:

<!--
    Used for including CSRF token in JSON requests
    Also see bottom of this file for adding CSRF token to JQuery AJAX requests
-->
<meta name="_csrf" content="${_csrf.token}"/>
<meta name="_csrf_header" content="${_csrf.headerName}"/>


......

$("meta[name='_csrf']").attr("content");
var token = "hello";
var header = $("meta[name='_csrf_header']").attr("content");
$(document).ajaxSend(function(e, xhr, options) {
    xhr.setRequestHeader(header, token);
});

但是我发现,即便我在token中 乱写一个,或者部分,请求仍然能收到正常响应,请问是我对CSRF理解错了么? 如果我乱写一个,应该返回错误才对啊!

1个回答

ok,自己解决了。
Spring security 默认的org.springframework.security.web.csrf.CsrfFilter 对于HTTP请求有如下的判断:
private Pattern allowedMethods = Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$");
因此如果我改成hello之后,必须要通过put或者post请求才能测试的出来。

很多讲CSRF原理的文章,使用的是GET来进行举例,Spring Security的实现上有这样的不同,导致我查了半天。

Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
立即提问
相关内容推荐