Exception { .and.csrf我可以访问所有的get执行器端点,但是当我尝试调用http://localhost:8080/actuator/refresh (一个POST)时,我得到了一个403拒绝。如果我禁用了csrf(
浏览 6提问于2020-12-09得票数 0
回答已采纳
3回答
我有以下代码 .antMatchers("/users/login","/token/refresh").permitAll
浏览 0提问于2018-11-08得票数 1
回答已采纳
1回答
我使用Django REST框架创建了Rest,对auth端点使用了django-rest。这些API用于移动应用程序。我使用TokenAuthentication来保护API。当我访问/docs/使用上面的设置时,我会得到以下错误:所以我启用了SessionAuthentication。(/rest-auth/ login )与CSRF错误中断。{
"detail&
浏览 5提问于2017-11-14得票数 0
回答已采纳
1回答
我有下面的类,它有CSRF if/else条件。我从属性文件中读取此标志,并且可以使用/refresh端点更改标志值。csrfFlag = somePropertyFile.getCsrfFlag(); http.csrf()....some other code http.csrf</em
浏览 1提问于2020-05-04得票数 0
1回答
在应用程序的前端,我使用的是水瓶WTF和它的CSRF保护。 app.register_blueprint(bp)
浏览 2提问于2016-06-03得票数 2
回答已采纳
我有一个不需要任何身份验证的API端点,并且在浏览器上仅针对此端点收到CSRF Failed: CSRF cookie not set错误。在我的django设置中,我有: ALLOWED_HOSTS = ['*'] 并且它不包括任何CSRF_COOKIE_SECURE、CSRF_COOKIE_HTTPONLY或SESSION_COOKIE_SECURE'
} 我注意到,在浏览器cookie中,如果有任何refresh-token键,那么<
浏览 18提问于2020-08-16得票数 0
1回答
用于启用GraphQl和Cors的API。VueJS用于前端。我的身份验证是使用JWT运行的。但我有匿名结账所以我需要CSRF的保护。问题是我的API不是路由器。我看了一下c冲浪模块并试用了它,但是目前,我将CSRF令牌带到前端的方式是使用API上的/getCSRFToken端点,这并不是一个好的实践,另一件事是,由于启用了CORS,所以可以访问每个人。这是我拥有的主要信息来源:
我不知道如何准确地设置CSRF保护,而不具备获得CSR
浏览 1提问于2018-07-27得票数 0
我有一个Springfox 2应用程序(rest ),并使用Springfox 2库,包括UI库。现在有一个调查已经进行了几个月,这404调用是否可以配置,所以我现在考虑实现端点。我找不到关于该怎么做的信息。昂首阔步地期待什么样的头/标记,它将如何处理其中的信息?我能用这个来使我的应用程序(或者招摇过市的端点)更安全或者更可访问吗?简单地说,要点是什么?
浏览 0提问于2019-04-08得票数 13
回答已采纳
1回答
我有某些端点"/ui/“和”/non/“。在"/ui/“端点上,启用Oauth2代码授予类型。然而,同一个ui用户在成功登录oauth2后也可以访问“/non/”端点。我不希望ui用户能够访问“/non/”端点,也不希望为“/non/”端点启用oauth2登录。().antMatchers("/non-ui&#x
浏览 1提问于2021-04-09得票数 0
4回答
我的Spring客户机依赖于spring.cloud.starter.bus.amqp,但它仍然没有启用/bus/refresh endpointcompile("org.springframework.cloud/bus/refresh,/bus/env。/bus/*端点。,我禁用了这些端点,即将其设置为false
endpoints.spring.cloud.bus.r
浏览 14提问于2017-05-12得票数 4
回答已采纳
我有一个API端点,可由本地(控制台、移动应用程序)和基于Javascript的客户端访问。
如何确保只在Javascript调用期间调用CSRF AntiForgeryToken?还是在身份验证令牌中列出的权利是服务器确定是否应该应用CSRF的唯一途径?
浏览 0提问于2019-02-07得票数 1
bean能够从Config服务器加载刷新/更新的值,我们需要在Spring客户机中做两件事
如何避免在所有这些类上添加@RefreshScope注释。是否有任何快捷方式或春云功能来绕过这种情况。
浏览 2提问于2018-07-11得票数 1
要启用/__refresh端点,我必须将ENABLE_GATSBY_REFRESH_ENDPOINT设置为true,但不知道如何向gatsby添加环境变量。我怎么能这么做?
浏览 1提问于2020-02-20得票数 3
回答已采纳
基本上,我希望在spring引导中对每个REST调用调用spring安全性,而不是在应用程序启动期间调用一次,并查找用户的角色并根据用户角色进一步限制端点。我已经尝试过手动限制端点,如下所示。如果用户具有ADMIN 1用户角色,我们只能启用/admin1/*端点并限制/admin2/*和/admin3/*。类似地,如果用户具有ADMIN 2用户角色,我们只能
浏览 2提问于2020-10-07得票数 2
回答已采纳
1回答
configure(HttpSecurity http) throws Exception { http.csrfPasswordEncoder getPasswordEncoder() { }
在生产环境中,应该启用CSRF,尽管我目前不处理任何csrf令牌
GET端点</e
浏览 1提问于2020-05-29得票数 1
回答已采纳
在这个测试中,我需要显式地检查CSRF行为,所以我使用了一个设置为True的测试客户端enforce_csrf_checks我的问题是,对于我来说,手动获取CSRF令牌并将其与我要向该客户端发出的POST请求一起发送的最简单方法是什么?定义一个返回csrf(request)的自定义测试视图,向该视图发出请求,提取CSRF令牌,然后在POST请求中使用它,或者有没有更
浏览 2提问于2012-01-23得票数 11
回答已采纳
我对Spring很陌生,并试图找出白名单终点的方法。我已经启用了Spring安全系统。我有一个带有端点Hello的控制器类,它应该返回"hello“作为响应,并且希望任何人都能够访问这个端点而不需要身份验证。HttpMethod.GET, "/employee/**").permitAll() .csrf().disable();*/
浏览 0提问于2019-12-27得票数 1
1回答
我之前的方法是将access_token以及refresh_token存储在sessionStorage中,这很容易受到XSS攻击。现在,当access_token到期时,我将调用/refresh端点来获取新的access_token。在这里,我将过期的JWT传递到Authorization头中。这里的想法是保护您的刷新端点,并确保只有登录的用户才会请求令牌。建议将您的访问令牌存储在内存中,并将刷新令牌存储在cookie中。
浏览 2提问于2021-06-09得票数 2
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
云直播
腾讯会议活动推荐
腾讯云开发者
