关于java spring security CSRF的问题

在spring mvc showcase中使用了CSRF，在home.jsp中有这样的标准做法：

<!--
    Used for including CSRF token in JSON requests
    Also see bottom of this file for adding CSRF token to JQuery AJAX requests
-->
<meta name="_csrf" content="${_csrf.token}"/>
<meta name="_csrf_header" content="${_csrf.headerName}"/>

......

$("meta[name='_csrf']").attr("content");
var token = "hello";
var header = $("meta[name='_csrf_header']").attr("content");
$(document).ajaxSend(function(e, xhr, options) {
    xhr.setRequestHeader(header, token);
});

但是我发现，即便我在token中 乱写一个，或者部分，请求仍然能收到正常响应，请问是我对CSRF理解错了么? 如果我乱写一个，应该返回错误才对啊!

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
docong 2015-02-07 12:16
关注
ok，自己解决了。
Spring security 默认的org.springframework.security.web.csrf.CsrfFilter 对于HTTP请求有如下的判断：
private Pattern allowedMethods = Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$");
因此如果我改成hello之后，必须要通过put或者post请求才能测试的出来。

很多讲CSRF原理的文章，使用的是GET来进行举例，Spring Security的实现上有这样的不同，导致我查了半天。

本回答被题主选为最佳回答 , 对您是否有帮助呢?

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

关于java spring security CSRF的问题 spring
2015-02-07 10:50

回答 1 已采纳 ok，自己解决了。 Spring security 默认的org.springframework.security.web.csrf.CsrfFilter 对于HTTP请求有如下的判断： priv
spring security报栈溢出错误，如何解决？(语言-java) java spring spring boot
2022-02-17 15:04

回答 3 已采纳你的问题出现在这一步，这些都是多余的，光该这个的话，把这些删了就行。 @Override protected void configure(AuthenticationManagerB
请问spring security配置类循环依赖了项目启动不了怎么办 java spring spring boot
2022-01-26 15:13

回答 5 已采纳 PasswordEncoder在service不需要注入，SpringSecurity自动会实现密码的加密和解密，自己不要写rememberme使用的那个直接new 使用，或者重新建一个类来注入bea
Spring Security CSRF 保护指南
2022-11-05 17:23

allway2的博客现在我们了解了CSRF攻击的样子，让我们在Spring应用程序中模拟这些示例。如果我们跟踪来自此攻击者页面的请求，我们将能够发现命中原始应用程序的请求。所解释的，我们需要了解我们的无状态 API 是否需要 CSRF 保护...
SpringSecurity permitAll方式放行资源无效 java spring boot 后端
2022-05-06 20:14

回答 3 已采纳 configure(HttpSecurity http)中配置放行，那还是会走spring security拦截链的， configure(WebSecurity web)中去配置放行，那才是真的放行
spring security permit无效 java spring spring boot 有问必答
2022-01-10 15:52

回答 3 已采纳这个代码是按照循序执行的，你换成这样看看呢 @Override protected void configure(HttpSecurity http) throws Exception { h
Spring Security自定义AccessDeniedHandler配置后不生效 java spring 后端
2022-05-09 09:09

回答 3 已采纳根据楼上提示，在ExceptionTranslationFilter源码中有如下代码 private void handleAccessDeniedException(HttpServletR
spring security CSRF防护
2022-08-24 14:59

bhegi_seg的博客从Spring Security 4.0开始，默认情况下会启用CSRF保护，以防止CSRF攻击应用程序，Spring Security CSRF会针对PATCH，POST，PUT和DELETE方法进行防护。所以在默认配置下，即便已经登录了，页面中发起PATCH，POST，...
springSecurity 自定义登录/doLogin问题 java spring
2022-02-17 16:40

回答 3 已采纳亲测no problem，clean再跑试试，还是一样就有点意思了，代码打个包丢网盘看看
关于Spring security登陆后的问题 java spring
2019-01-16 10:57

回答 1 已采纳查看博客已解决问题，将配置内容改为 ``` @Override protected void configure(HttpSecurity http) throws Exce
spring-security遇到的问题 java spring
2022-10-07 21:25

回答 3 已采纳问题已经解决，问题出在用 BCrypt 密码加密测试那一步，由于马虎直接new了加密处理器，没有使用bean里面注入的，导致数据库密码加密校验时对不上，security里没有过验证，所以没有报错，只给
Java Spring Security 安全框架：（十七）Spring Security 中 CSRF
2020-10-12 11:37

地球村公民的博客 Spring Security 中 CSRF1.什么是 CSRF2.Spring Security 中 CSRF2.1 实现步骤2.1.1 编写控制器方法2.1.2 新建 login.html2.1.3 修改配置类从刚开始说明 Spring Security 时，在配置类中一直存在这样一行代码：...
spring-security动态权限问题 java spring spring boot
2022-10-14 15:42

回答 2 已采纳代码搞个压缩包丢网盘，给你看看
Spring Security CSRF防御&源码分析
2022-01-14 22:56

Charge8的博客 Spring Security CSRF防御&源码分析
十七、Spring Security中CSRF
2023-03-17 00:14

Parker0083的博客 CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack” 或者Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。跨域：只要网络协议，ip地址，端口中任何一个不相同就是跨域...
没有解决我的问题, 去提问

悬赏问题

¥15 如何在scanpy上做差异基因和通路富集？
¥20 关于#硬件工程#的问题，请各位专家解答！
¥15 关于#matlab#的问题：期望的系统闭环传递函数为G(s)=wn^2/s^2+2¢wn+wn^2阻尼系数¢=0.707，使系统具有较小的超调量
¥15 FLUENT如何实现在堆积颗粒的上表面加载高斯热源
¥30 截图中的mathematics程序转换成matlab
¥15 动力学代码报错，维度不匹配
¥15 Power query添加列问题
¥50 Kubernetes&Fission&Eleasticsearch
¥15 報錯：Person is not mapped，如何解決？
¥15 c++头文件不能识别CDialog