开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Spring Security tokenRepository CSRF设置p:cookieHttpOnly="false“获取错误

Spring Security是一个开源的安全框架，用于在Java应用程序中实现身份验证和授权。它提供了一套功能强大的机制来保护应用程序免受各种安全威胁。

在Spring Security中，tokenRepository是用于存储和管理令牌（Token）的接口。CSRF（Cross-Site Request Forgery）是一种常见的Web攻击方式，它利用用户在其他网站上的身份验证信息来伪造请求，从而执行未经授权的操作。为了防止CSRF攻击，可以通过设置p:cookieHttpOnly="false"来禁用HttpOnly属性，使得浏览器可以通过JavaScript访问和操作Cookie。

然而，禁用HttpOnly属性可能会增加应用程序受到XSS（Cross-Site Scripting）攻击的风险。XSS攻击是一种利用恶意脚本注入网页中的攻击方式，攻击者可以通过注入恶意脚本来窃取用户的敏感信息。因此，建议在设置p:cookieHttpOnly属性时，仔细评估应用程序的安全需求和风险。

对于Spring Security的CSRF设置，可以参考以下步骤：

在Spring Security配置文件中，配置CSRF保护：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf()
                .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
                .and()
            // 其他配置...
    }
}

在前端页面中添加CSRF令牌：

<head>
    <meta name="_csrf" th:content="${_csrf.token}"/>
    <meta name="_csrf_header" th:content="${_csrf.headerName}"/>
</head>
<body>
    <!-- 页面内容 -->
    <script th:inline="javascript">
        var csrfToken = /*[[${_csrf.token}]]*/ '';
        var csrfHeader = /*[[${_csrf.headerName}]]*/ '';
        // 使用csrfToken和csrfHeader进行请求
    </script>
</body>

在上述代码中，使用了Spring Security提供的CookieCsrfTokenRepository.withHttpOnlyFalse()方法来配置CSRF保护，并将CSRF令牌和头信息添加到前端页面中。

关于Spring Security的CSRF设置和使用，可以参考腾讯云的产品文档：Spring Security CSRF设置。

需要注意的是，本回答没有提及具体的腾讯云产品和产品介绍链接地址，因为要求答案中不能提及亚马逊AWS、Azure、阿里云、华为云、天翼云、GoDaddy、Namecheap、Google等流行的云计算品牌商。

相关搜索:我是否可以将web应用程序的组件与React Native应用程序一起使用如何在两列匹配的情况下合并两个不同的数据帧内容对绘图中的条形图进行排序如何在不使用CAMetalDrawable的情况下获得渲染纹理？如何在Hibernate中的每个会话启动时运行固定命令如何设置代码页ID以便在google analytics中检测到？如何使用drf创建评论系统使用data.table根据一列重新分配另一列 pyspark foreach/foreachPartition发送http请求失败如果使用最大优先级队列，Dijkstra算法是如何工作的？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Spring Security 中 CSRF 防御源码解析

上篇文章松哥和大家聊了什么是 CSRF 攻击，以及 CSRF 攻击要如何防御。主要和大家聊了 Spring Security 中处理该问题的几种办法。...今天松哥来和大家简单的看一下 Spring Security 中，CSRF 防御源码。...松哥手把手带你入门 Spring Security，别再问密码怎么解密了手把手教你定制 Spring Security 中的表单登录 Spring Security 做前后端分离，咱就别做页面跳转了！...1.随机字符串生成我们先来看一下 Spring Security 中的 csrf 参数是如何生成的。...接下来获取请求中传递来的 CSRF 参数，先从请求头中获取，获取不到再从请求参数中获取。

2.3K2 0

【SpringSecurity系列（十九）】Spring Security 中 CSRF 防御源码解析

《深入浅出Spring Security》一书已由清华大学出版社正式出版发行，感兴趣的小伙伴戳这里->->>深入浅出Spring Security，一本书学会 Spring Security。...---- 上篇文章松哥和大家聊了什么是 CSRF 攻击，以及 CSRF 攻击要如何防御。主要和大家聊了 Spring Security 中处理该问题的几种办法。...今天松哥来和大家简单的看一下 Spring Security 中，CSRF 防御源码。...1.随机字符串生成我们先来看一下 Spring Security 中的 csrf 参数是如何生成的。...接下来获取请求中传递来的 CSRF 参数，先从请求头中获取，获取不到再从请求参数中获取。

8032 0

【第八篇】SpringSecurity核心过滤器-CsrfFilter

SpringSecurity核心过滤器-CsrfFilter Spring Security除了认证授权外功能外，还提供了安全防护功能。...三、SpringSecurity是如何防止CSRF攻击的首先从 Spring Security 4.0 开始，默认情况下会启用 CSRF 保护，以防止 CSRF 攻击应用程序，Spring Security...我们主要看的是 spring-security-web.jar中的 org.springframework.security.web.csrf包下的源码。...检查表单提交的_csrf隐藏域的value与内存中保存的的是否一致，如果一致框架则认为当然登录页面是安全的，如果不一致，会报403forbidden错误。...spring.session.store-type=redis spring.session.redis.namespace=spring:session 修改host文件，设置域名关系添加配置文件

6373 0

【SpringSecurity】快速入门—通俗易懂

UserDetailsService是Spring Security中的一个接口，它有一个方法loadUserByUsername，用于根据用户名获取用户信息。....logoutUrl("/logout"): 这告诉Spring Security，当用户点击注销时，应该将他们重定向到URL "/logout"。....permitAll(): 这告诉Spring Security，所有用户都应该能够访问注销功能。换句话说，它不限制谁可以注销，所有用户都可以。...从 Spring Security 4.0 开始，默认情况下会启用 CSRF 保护，以防止 CSRF 攻击应用程序， Spring Security CSRF 会针对 PATCH...开启CSRF后，Spring Security会添加一个CSRF令牌到表单提交的请求中，以确保只有合法的请求才能被处理。

2824 0

Spring Security技术栈开发企业级认证与授权（十）开发记住我功能

一、Spring Security的记住我功能基本原理 Spring Security的“记住我”功能的基本原理流程图如下所示： ?...设置到configure方法中即可。...Spring Security技术栈开发企业级认证与授权系列文章列表： Spring Security技术栈开发企业级认证与授权（一）环境搭建 Spring Security技术栈开发企业级认证与授权...（八）Spring Security的基本运行原理与个性化登录实现 Spring Security技术栈开发企业级认证与授权（九）开发图形验证码接口 Spring Security技术栈开发企业级认证与授权...Security Spring Security技术栈开发企业级认证与授权（十三）Spring Social集成第三方登录验证开发流程介绍 Spring Security技术栈开发企业级认证与授权

5972 1

Spring Security技术栈开发企业级认证与授权（十二）将短信验证码验证方式集成到Spring Security

短信登录作为一种常见的登录认证方式，在Spring Security中是没有的，本篇博客将继续在之前文章的基础上，建立一套短信登录验证机制，并将其集成到Spring Security中。...结合下面的图，我们来简要分析一下Spring Security是如何验证基于用户名和密码登录方式的，分析完毕之后，再一起思考如何将短信登录验证方式集成到Spring Security中。...，并基于用户名和密码生成了UsernamePasswordAuthenticationToken，并在生成Token的过程中将是否认证通过设置为false。...，并基于手机号码来生成SmsAuthenticationToken，并在生成Token的过程中将是否认证通过设置为false。...false，第二个构造方法用在认证成功之后，重新构造Token的时候，将手机号和权限列表传入到其中，并设置Authenticated为true。

8372 0

Spirng Security知识点整理

新建demo.html 权限判断设置用户角色和权限控制页面显示效果退出登录 logout其他常用配置源码解读 SpringSecurity中的CSRF 什么是CSRF Spring Security...从Spring Security 4.0开始，默认情况下会启用CSRF保护，以防止CSRF攻击应用程序，Spring Security CSRF会针对PATCH，POST，PUT和DELETE方法进行防护...---- Spring Security中的CSRF 从 Spring Security4开始CSRF防护默认开启。默认会拦截请求。进行CSRF处理。...注意， _csrf这个要与spring security的配置文件中的配置相匹配，默认为_csrf。...利用spring-security解决CSRF问题

1.3K2 0

基于spring security创建基本项目框架

password: 邮箱开启smtp和pop功能后会返回一串密码 redis:(如果redis在本地则不需要配置) host:localhost:8080 创建三层实体类、mapper（根据用户名获取密码...throws UsernameNotFoundException { AuthUser user = mapper.getPasswordByUsername(s); //从数据库根据用户名获取密码...if(user == null) throw new UsernameNotFoundException("登录失败，用户名或密码错误！")...)) //存储记住我的token .tokenValiditySeconds(60 * 60 * 24 * 7) //Token的有效时间（秒）默认为14天,这里设置改为...7天 //先禁用防止跨站脚本攻击的csrf token,选择型开启 .csrf() .disable()

1671 0

SpringBoot集成SpringSecurity - 表单登录添加验证码（四）

1.5 运行程序二、验证码验证验证方式： AJAX 验证过滤器验证 Spring Security 验证接下来我们分别针对这几种验证方式做讲解。...2.1 AJAX验证使用 AJAX 方式验证和我们 Spring Security 框架就没有任何关系了，其实就是表单提交前先发个 HTTP 请求验证验证码，本篇不再赘述。....setAttribute("SPRING_SECURITY_LAST_EXCEPTION",new VerifyCodeException("验证码输入错误")); /...; import javax.servlet.http.HttpServletRequest; /** * ======================== * 该接口用于在Spring Security...和AuthenticationDetailsSource将验证码key、验证码值和用户名、密码一起带入了Spring Security中，下面我们需要将它取出来。

1.8K2 0

Spring Boot 自动登录，安全风险要怎么控制？松哥教你两招

松哥手把手带你入门 Spring Security，别再问密码怎么解密了手把手教你定制 Spring Security 中的表单登录 Spring Security 做前后端分离，咱就别做页面跳转了！...统统 JSON 交互 Spring Security 中的授权操作原来这么简单 Spring Security 如何将用户数据存入数据库？...Spring Security+Spring Data Jpa 强强联手，安全管理只有更简单！...Spring Boot + Spring Security 实现自动登录功能好了，我们就不废话了，来看今天的文章。...1.持久化令牌 1.1 原理要理解持久化令牌，一定要先搞明白自动登录的基本玩法，参考（Spring Boot + Spring Security 实现自动登录功能）。

1.2K3 0

Spring Security 实现 Remember Me

由上图可知，登录页除了输入用户名和密码之外，还多了一个记住我的复选框，用于实现前面提到的 Remember Me 功能，接下来本文将重点介绍如何基于 Spring Security 实现 Remember...二、Remember Me 处理流程在 Spring Security 中要实现 Remember Me 功能很简单，因为它内置的过滤器 RememberMeAuthenticationFilter...三、Remember Me 实战 3.1 配置数据源 spring.datasource.url=jdbc:mysql://127.0.0.1:3306/security?...useUnicode=yes&characterEncoding=UTF-8&useSSL=false spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver...这里 remember-me Cookie 的认证处理也会交由 Spring Security 内部的 RememberMeAuthenticationFilter 过滤器来处理。

2.5K2 1

阅读Spring WebFlux Security的CsrfWebFilter

上篇介绍了 CSRF 及 Spring Security 对防范 CSRF 所做的支持。...Spring Security 实现了基于 Session 和 Cookie 的 Sychronizer Token Pattern，以防范 CSRF，默认实现是基于 session 的。...Spring Security 对 Servlet 和 WebFlux 技术栈分别进行了实现。其中，基于 Servlet 技术栈的实现代码是： CsrfFilter：执行过滤、验证。...（之前版本的错误信息有误 https://github.com/spring-projects/spring-security/commit/a1083d9a5ce3fef8fa458a47e5a6b7a6576ec01e...} } } Reference： https://docs.spring.io/spring-security/site/docs/5.4.5/reference/html5/#csrf

1.1K2 0

Spring Security 4 整合Hibernate 实现持久化登录验证（带源码）

上一篇文章：Spring Security 4 整合Hibernate Bcrypt密码加密（带源码）原文地址：http://websystique.com/spring-security/spring-security...-4-remember-me-example-with-hibernate/ 【相关已翻译的本系列其他文章，点击分类里面的spring security 4】本教程将使用Spring Security...这就是在 Spring Security中实现Remember-Me（自动登录）的方式。...你也可以使用Spring Security 内置的表达式配合Spring security标签，基于自动登录或者完整的身份认证，来实现显示或者隐藏。...正如你所见jsp中CSRF参数使用EL表达式获取的。

9771 0

SpringBoot集成SpringSecurity - 异常处理（三）

如果没有设置，直接返回 401 错误，即 HttpStatus.UNAUTHORIZED 的值。 b. 如果设置了，首先执行 saveException() 方法。...写入名为 WebAttributes.AUTHENTICATION_EXCEPTION 常量对应值SPRING_SECURITY_LAST_EXCEPTION，值为 AuthenticationException....logout().permitAll() // 自动登录 .and().rememberMe() .tokenRepository...跨域 http.csrf().disable(); } 在 Controller 中编写 loginError方法完成异常处理操作： @GetMapping("/login/error...：修改返回值：enable 为 false 修改返回值：accountNonExpired 为 false 修改返回值：credentialsNonExpired 为 false

1.1K2 0

SpringSecurity之记住我功能的实现

根据token从数据库中查是否有记录，如果有记录会把用户名取出来，再调用UserDetailService根据用户名获取用户信息，然后放在SecurityContext里。...-- 由于我使用的spring boot所以我是引入spring-boot-starter-security而且我使用了spring io所以不需要填写依赖的版本号 --> ... org.springframework.security spring-security-config...Default is false.

8692 0

Spring Security---记住我功能详解

Spring Security---记住我功能详解 Remember me 步骤测试实现原理 RememberMeToken 的组成过滤器执行流程个性化配置源码分析生成解析总结持久化令牌...第二次登陆的时候使用RememberMeToken令牌（就不用输入用户名密码了），RememberMeAuthenticationFilter在Spring Security过滤器链中处于整体偏后的位置...我们之前说过，Spring Security 中的一系列功能都是通过一个过滤器链实现的，RememberMe 这个功能当然也不例外。...为此，Spring Security还给我们提供了一种将token存储到数据库中的方式，重启应用也不受影响。有的文章说使用数据库存储方式是因为这种方式更安全，笔者不这么认为。...=jdbc:mysql:///spring_security?

1.3K1 0

Spring Security--短信验证码详解

Spring Security--短信验证码详解需求实现步骤获取短信验证码短信验证码校验过滤器短信验证码登录认证配置类进行综合组装 ---- 需求输入手机号码，点击获取按钮，服务端接受请求发送短信...注意：一定要为“/smscode”访问路径配置为permitAll访问权限,因为spring security默认拦截所有路径，除了默认配置的/login请求，只有经过登录认证过后的请求才会默认可以访问...SmsCodeAuthenticationFilter extends AbstractAuthenticationProcessingFilter { public static final String SPRING_SECURITY_FORM_MOBILE_KEY...= "mobile"; private String mobileParameter = SPRING_SECURITY_FORM_MOBILE_KEY ; //请求中携带手机号的参数名称...// 是则返回true，否则返回false。

1.3K2 0

Spring全家桶之SpringSecurity

matches() : 验证从存储中获取的编码密码与编码后提交的原始密码是否匹配。如果密码匹配，则返回 true；如果不匹配，则返回 false。第一个参数表示需要被解析的密码。...//关闭csrf防护，类似于防火墙，不关闭上面的设置不会真正生效。...如需要获取main1.html的访问权限,需要重复步骤c ,开放main1.html的访问权限 , 其他页面的访问 , 亦是如此十三、基于注解的访问控制在Spring Security 中提供了一些访问控制的注解...十七、Spring Security 中CSRF 从刚开始学习Spring Security 时，在配置类中一直存在这样一行代码：http.csrf().disable(); 如果没有这行代码导致用户无法被认证...2 Spring Security 中CSRF 从Spring Security4 开始CSRF 防护默认开启默认会拦截请求 ,进行CSRF 处理。

3.4K1 0

Spring Security项目第三方登陆(四)

private String is_lost; /** * 返回码 */ private String ret; /** * 如果ret<0，会有相应的错误信息提示..., new WeixinAdapter()); } /** * 由于微信的openId是和accessToken一起返回的，所以在这里直接根据accessToken设置...国内厂商实现的OAuth2每个都不同, spring默认提供的OAuth2Template适应不了，只能针对每个厂商自己微调。...persistent_logins表 //tokenRepository.setCreateTableOnStartup(true); return tokenRepository...persistent_logins表 //tokenRepository.setCreateTableOnStartup(true); return tokenRepository

2K2 0

Spring Security 最佳实践，看了必懂！

Security简介 Spring Security 认证流程 Spring Security 项目搭建导入依赖访问页面自定义用户名和密码 UserDetailsService详解 PasswordEncoder...密码解析器详解登录配置角色权限 403 权限不足页面处理 RememberMe（记住我） Spring Security 注解 Spring Security中CSRF 什么是CSRF?...---- 今天来一篇 Spring Security 精讲，相信你看过之后能彻底搞懂 Spring Security。...Spring Security定义生成的。...通俗解释： CSRF就是别的网站非法获取我们网站Cookie值，我们项目服务器是无法区分到底是不是我们的客户端，只有请求中有Cookie，认为是自己的客户端，所以这个时候就出现了CSRF。

8291 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭