使用spring-security-web3.2.x(旧的客户端代码),有没有办法不向使用GET方法的表单注入csrf令牌参数? 这使得该令牌在表单提交时出现在URL中,并且可能会被泄露。配置为: <http>
<csrf> JSP是: <form:form method="GET" ...生成的HTML: <input type="h
浏览 30提问于2021-01-20得票数 0
1回答
接收HTTP.POST发布的对象
、、、、
你好,我试图为我的春季应用程序用户键入他/她的名字,笔记,公司/工作,电子邮件的电子邮件确认api。在收到这个对象后,我想发送一个确认链接到电子邮件。<form method="POST" th:object="${Signature}"> <input id="inputName" type="text" th:field="*{name}">
<label>Note
浏览 1提问于2020-07-21得票数 0
回答已采纳
1回答
我遵循了这个指南:
Invalid CSRF Token 'null' was found on the requestparameter '_csrf' or header 'X-CSRF-TOKEN'./appServlet/spring-security.xml,
/WEB-
浏览 1提问于2017-06-05得票数 0
我所有的REST接口在启用csrf保护的情况下都工作得很好,但是我需要为/login禁用csrf,否则我会得到一个403禁止。我用的是spring security,登录路径是通过spring security提供的。http.csrf().disable()
编辑:登录路由总是需要登
浏览 0提问于2020-05-09得票数 2
我已经为我的Springframework RESTful服务配置了springframework安全(4.0)。对于浏览器启动的GET访问和action=GET所在的html表单,一切都很顺利,但对于method=requestMethod.POST所在的服务来说,要么是通过浏览器提交带有action=POST的HTML表单,要么是通过从远程应用程序使用RestTemplate,都会失败。这样,我就可以访问Method=GET的所有服务,而不会被要求提供凭据(似乎是对的),但会收到一个
浏览 0提问于2016-03-01得票数 3
免责声明:我知道如何手动将令牌注入到带有胸腺网的表单中:
<input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token,我不需要在表单(POST)上注入CSRF令牌,因为Thymeleaf自动处理它,但是现在由于某种原因它没有。security.ignored= # Comma-separated list of path
浏览 6提问于2015-04-08得票数 16
回答已采纳
3回答
这是我的代码:<security:http auto-config="true">
<security:logout invalidate-session="true" logout-url="/j_spring_secur
浏览 9提问于2016-11-30得票数 2
回答已采纳
5回答
嗨,我试着遵循一个简单的例子,我在这个页面http://docs.spring.io/autorepo/docs/spring-security/4.0.x/guides/form.html中找到了一个简单的登录表单页面the CSRF token to our form.If we were not using Thymleaf or Spring MVCs taglib we could also manually add
浏览 5提问于2014-09-05得票数 17
回答已采纳
1回答
我想保护我的应用程序免受跨站点请求伪造(CSRF)攻击,所以我将其添加到我的<security:global-method-security secured-annotations="enabled" />
<security:csrf/>-- spring security c
浏览 3提问于2015-11-23得票数 0
回答已采纳
3回答
我正在设置一个Keycloak实例,以便使用包含spring安全性的spring引导应用程序。我用邮递员来测试服务。我从获得新的访问令牌开始,这很好。我已经测试了http.csrf().disable()选项,然后运行良好,但它不是生产的解决方案。
浏览 0提问于2019-04-01得票数 7
回答已采纳
我从表单中发送一个动作到春天:public class RecoverController {
@RequestMapping(method = RequestMethod.GET</em
浏览 1提问于2016-12-17得票数 2
回答已采纳
我有以下的spring安全配置,我如何将它的登录更改为基于http GET而不是POST的工作,这样登录url将类似于: http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans
浏览 0提问于2014-09-01得票数 0
2回答
我正在建立一个使用spring安全和胸腺叶的web应用程序,我让它与登录和注销工作,但我有一些问题,当我尝试注册为最终用户。我收到一个无效的csrf令牌错误。我是个新手,我需要一些帮助。我的问题是如何将令牌附加到该请求?(Post /registration)顺便说一句,我没有使用任何XML,我使用的是注释。: status =403, body ={"timestamp":1430645356572,"status":403,"error&qu
浏览 1提问于2015-05-03得票数 1
我有一个小型的Rest服务应用程序(Java8,Spring4.1.6,SpringSecurity5.0.1,Jetty9.3),我使用Spring访问一些服务。据了解,csfr有一个常见的令牌(客户端将其与每个请求一起发送,服务器将其存储在会话中),并在服务器端进行比较。如果没有可用的令牌或令牌不同,则拒绝访问。所以我认为使用拦截器来添加这个令牌是个好主意。我还读到,在json中,我必须将令牌作为报头参数.但我做错了,登录已经失败了。o.a.h.i.c.Poolin
浏览 15提问于2015-08-15得票数 1
回答已采纳
1回答
我用spring boot创建了后端,其中需要csrf令牌。 "status": 403, "message": "Expected CSRF
浏览 3提问于2015-03-24得票数 3
2回答
春季安检方法的困惑与体会
、、、、
我对Spring安全性的使用有强烈的怀疑,具体来说,我想知道如何保护连接到控制器的函数(GET和POST)。让我更好地解释一下,为了辩护,我不打算对具有特定角色的授权用户执行该操作,即使是授权用户,我也打算为该行为进行辩护。具体示例:知道对象标识符的用户直接从url调用POST表单,而不是通过任何按钮/链接。
浏览 0提问于2019-02-13得票数 1
回答已采纳
保护Spring MVC应用程序免受CSRF和XSS攻击的最好方法是什么?
有没有原生的Spring MVC支持?
浏览 1提问于2012-01-22得票数 4
1回答
我正在从struts迁移到spring迁移。因为我正在开发最新的spring 4.3版本,我们决定为我们的应用程序提供CSRF保护。在我们的JSP页面上,我们有两个选项卡,都可以用http get方法单击来调用spring控制器。每个选项卡都有多个链接和按钮。在get调用之后,如果我在页面上执行任何操作,例如,单击一个按钮,这将执行对控制器的post调用。我得到了403禁止,并显示消息“预期的CSRF令牌未找到。您的会话是否已过期?”在Firefox开
浏览 11提问于2017-08-07得票数 0
回答已采纳
2回答
代码点火器Ajax禁忌
、、、、
instagram.php
<?php echo form_submit('submit', 'Get my access token', ['class' => 'btn-primary btn btn-get-token']);保护状态为假时,它们都工作得很好。或者当我将post类型从"post“更改为"g
浏览 4提问于2017-11-25得票数 0
我正在用我的spring应用程序配置spring安全性。www.springframework.org/tags/form" prefix="form" %> <h1 id="banner">Login to Securit
浏览 0提问于2016-02-28得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
