Security开启csrf防护后没有办法获取_csrfToken

开启csrf防护后放在WEB-INF外的jsp没有办法获取_csrf的Token
使用<sec:csrfInput />和
input name="${_csrf.getParameterName()}" type="hidden" value="${_csrf.getToken()}" />无效
本人使用jsp + spring mvc + spring security
jsp页面代码如下

<%@ page  contentType="text/html; charset=UTF-8"
         pageEncoding="UTF-8"%>

<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags" %>



<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8">
    <title>登入 - layuiAdmin</title>
</head>
<body>

        <form action="${pageContext.request.contextPath }/do/login.html" method="post">
      
<%--        <input name="${_csrf.getParameterName()}" type="hidden" value="${_csrf.getToken()}" />;--%>
            <sec:csrfInput />
            Text Field:<br />
            <%--        <input type="hidden" id="csrfTokenInput" name="_csrf">--%>
            <input type="text" name="loginAcct" aria-label="用户名" placeholder="用户名">
            <input type="text" name="userPswd" aria-label="密码" placeholder="密码">

        <input type="submit" >
        </form>



</body>
</html>

pom版本依赖在下面

<properties>
        <spring.version>6.0.6</spring.version>
        <jakarta.jakartaee-web-api.version>9.1.0</jakarta.jakartaee-web-api.version>
        <jakarta.servlet.jsp.jstl-api.version>3.0.0</jakarta.servlet.jsp.jstl-api.version>
        <spring.security.version>6.1.8</spring.security.version>



        <maven.compiler.source>17</maven.compiler.source>
        <maven.compiler.target>17</maven.compiler.target>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-webmvc</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>jakarta.platform</groupId>
            <artifactId>jakarta.jakartaee-web-api</artifactId>
            <version>${jakarta.jakartaee-web-api.version}</version>
            <scope>provided</scope>
        </dependency>

        <!-- jsp需要依赖! jstl-->
        <dependency>
            <groupId>jakarta.servlet.jsp.jstl</groupId>
            <artifactId>jakarta.servlet.jsp.jstl-api</artifactId>
            <version>${jakarta.servlet.jsp.jstl-api.version}</version>
        </dependency>
        <dependency>
            <groupId>org.glassfish.web</groupId>
            <artifactId>jakarta.servlet.jsp.jstl</artifactId>
            <version>${jakarta.servlet.jsp.jstl-api.version}</version>
            <exclusions>
                <exclusion>
                    <groupId>jakarta.servlet.jsp.jstl</groupId>
                    <artifactId>jakarta.servlet.jsp.jstl-api</artifactId>
                </exclusion>
            </exclusions>
        </dependency>


        <!-- SpringSecurity对Web应用进行权限管理 -->
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>${spring.security.version}</version>
<!--            <version>6.0.2</version>-->
        </dependency>

        <!-- SpringSecurity配置 -->
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>${spring.security.version}</version>

            <!--            <version>6.0.2</version>-->
<!--            <version>6.0.8</version>-->
        </dependency>

        <!-- SpringSecurity标签库 -->
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-taglibs</artifactId>
            <version>${spring.security.version}</version>

            <!--            <version>6.0.2</version>-->
        </dependency>



    </dependencies>

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

5条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
Kwan的解忧杂货铺@新空间代码工作室 2024-04-16 00:24
关注
上午好☀️☀️☀️️
本答案参考ChatGPT-3.5

问题描述：

在开启 CSRF 防护后，放在 WEB-INF 外的 JSP 页面没有办法获取 csrf 的 Token，使用 <sec:csrfInput /> 和 <input name="${_csrf.getParameterName()}" type="hidden" value="${_csrf.getToken()}" /> 无效。

解决方案：

检查是否在 Spring Security 配置文件中开启了 CSRF 防护，如果没有，则需要在配置文件中开启 CSRF 防护。

将 JSP 页面放在 WEB-INF 目录下，这样 JSP 页面就能够获取到 CSRF Token。如果想要将 JSP 页面放在 WEB-INF 外，可以通过添加以下代码解决。

<sec:csrfMetaTags/>

或者

<meta name="_csrf" content="${_csrf.token}"> <meta name="_csrf_parameter_name" content="${_csrf.parameterName}">

在 JSP 页面中使用 <sec:csrfInput/> 标签。这个标签会在页面中生成一个隐藏的 input 元素，包含 CSRF Token 的值。

修改后的代码：

<%@ page contentType="text/html;charset=UTF-8" language="java" %> <%@taglib prefix="sec" uri="http://www.springframework.org/security/tags" %> <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title>登录</title> </head> <body> <form action="${pageContext.request.contextPath}/do/login.html" method="post"> <sec:csrfInput/>  <input type="text" name="loginAcct" aria-label="用户名" placeholder="用户名"> <input type="text" name="userPswd" aria-label="密码" placeholder="密码"> <input type="submit" value="登录"> </form> </body> </html>
解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

springsecurity中没有设置关闭csrf 防护，表单中隐藏域也没写，为什么依旧可以访问 csrf spring boot
2021-11-20 13:08

回答 1 已采纳已解决！！原因是：我的login.html提交表单时用了thymeleaf模板中的 th:action ,thymeleaf会在表单提交时自动生成_csrf隐藏域，就不用再自己写隐藏域了
即使设置了meta中的csrf_token，Laravel + ReactJS页面也已过期 csrf laravel php reactjs
2018-06-29 05:37

回答 1 已采纳 I've manually added a hidden field with the {{csrf_token()}} as the value and it now works. It see
所有POST请求上的Laravel 4 CSRF csrf laravel php
2013-06-26 20:34

回答 7 已采纳 You can use route groups. This will apply the specified options to any routes defined in a group:
Spring Security中启用CSRF防护（REST版）
2023-03-13 16:45

亚林瓜子的博客 REST版本的csrf防护，就是在原有的登录接口基础上面，新增一个实时随机请求头来，实现CSRF防护。
SpringBoot+security如何将token设置到全局headers中 html java
2022-08-09 12:22

回答 3 已采纳将main.js文件引用到每个html页面就好了。
CSRF令牌保护意义何在？ csrf php
2019-01-14 16:19

回答 2 已采纳 The CSRF token is random and unique per session. Hence, an attacker can get the value of this toke
Django csrf token的原理是什么？ ajax django python
2020-06-15 01:01

回答 1 已采纳 https://www.cnblogs.com/saolv/p/10995646.html
SpringSecurity框架下实现CSRF跨站攻击防御的方法
2020-08-25 07:09

* 使用ignoringAntMatchers开放一些不需要进行CSRF防护的访问路径，比如：登录授权。前端请求携带CSRF Token的方式在前端请求中携带CSRF Token可以使用以下方式： * 在Header中携带CSRF token。 * 直接作为参数...
Django上线后的csrf问题 django python web安全
2022-08-03 19:51

回答 3 已采纳您好！参考链接方法处理即可：https://blog.csdn.net/the_brave/article/details/104835040?utm_medium=distribute.pc_rel
csrf攻击不理解的地方？ csrf
2022-04-13 21:14

回答 3 已采纳这样的，比如你在 http://wwww.aaa.com 网站里面，你现在登录了假如，有一个修改密码的接口，需要传一个用户名和新密码就能修改，并且要向后端传cookie，cookie校验通过了就进
切换服务器后，Laravel CsrfToken将在刷新时到期 laravel nginx php
2016-10-08 13:41

回答 2 已采纳 As per comments bellow where I forgot to update, I found out the problem was actually the fact, th
4-SpringSecurity：CSRF防护
2020-12-13 22:19

Heartsuit的博客接着上一篇文章3-SpringSecurity：自定义Form表单中的项目：spring-security-form，继续演示开启CSRF防护的场景（当时关闭了CSRF：.csrf().disable()）。依赖不变，核心依赖为Web与Thymeleaf： <dependencies&gt...
CSRF Codeigniter 3验证 csrf php
2017-08-13 02:32

回答 1 已采纳 If you're using CodeIgniter CSRF the way the user guide mentions, by setting: $config['csrf_prote
SpringSecurity之CSRF漏洞保护
2022-07-24 18:33

Littewood的博客 SpringSecurity之CSRF漏洞保护
【Spring Security】认证&密码加密&Token令牌&CSRF的使用详解
2023-12-21 21:56

Java方文山的博客 Token令牌的使用与CSRF跨域请求伪造是什么等等我们都不知道，但是通过这篇文章我相信你会有所了解有所收获！！！创建自定义MD5加密类并实现@Override//对密码进行 md5 加密@Override// 通过md5校验修改@Bean// ...
没有解决我的问题, 去提问

问题事件

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
修改了问题 4月12日
关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
创建了问题 4月10日

悬赏问题

¥15 如何让子窗口鼠标滚动独立，不要传递消息给主窗口
¥15 如何能达到用ping0.cc检测成这样？如图
¥15 关于#DMA固件#的问题，请各位专家解答！
¥15 matlab生成的x1图不趋于稳定，之后的图像是稳定的水平线
¥15 请问华为OD岗位的内部职业发展通道都有哪些，以及各个级别晋升的要求
¥20 微信小程序 canvas 问题
¥15 系统 24h2 专业工作站版，浏览文件夹的图库，视频，图片之类的怎样删除？
¥15 怎么把512还原为520格式
¥15 MATLAB的动态模态分解出现错误，以CFX非定常模拟结果为快照
¥15 求高通平台Softsim调试经验

Security开启csrf防护后没有办法获取_csrfToken

5条回答 默认 最新

问题事件

悬赏问题

5条回答默认最新