注册
登录
云鉴权
Spring Boot + Security + Thymeleaf和CSRF令牌不会自动注入
返回
Spring Boot + Security + Thymeleaf和CSRF令牌不会自动注入
作者:
机器设备维修
发布时间:
2024-09-24 06:24:37 (12天前)
转自:
<div class =“excerpt”> 承认它很棒,但是有了Thymeleaf和 <span class =“result-highlight”> 安全 </跨度> 在Spring MVC上,我不需要注入CSRF <span class =“result-highlight”> 代币 </跨度> 在表格(POST)上,因为Thymeleaf会自动处理它,但现在在Spring Boot中进行了一些免责声明:我知道如何注入 <span class =“result-highlight”> 代币 </跨度> 用手动的百里香叶形式: &lt; input type =“hidden”th:name =“$ {_ csrf.parameterName}”th:value =“$ {_ csrf.token}”/&gt;` 这篇文章的目标是“ </DIV>
收藏
举报
5 条回复
0#
回复此人
薄情
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 使用Spring Boot + Thymeleaf + Spring Security它可以解决这个问题: </p> <H1> 应用属性 </H1> <P> <code> security.enable-csrf=true </code> </p> <P> 的<strong> 2017年3月30日更新 </强> : </p> <P> 一 的<strong> 重要 </强> 事情是:在你的表单中使用th:action,这将告诉Spring Security在表单中注入CSRF而无需手动插入。 </p> <P> 手动插入: </p> <H1> HTML模板 </H1> <pre> <code> <input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}" /> </code> </pre> <P> 的<strong> 更新于25/01/2017 </强> : </p> <H1> 的pom.xml </H1> <pre> <code> <dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-springsecurity4</artifactId> <version>2.1.2.RELEASE</version> </dependency> </code> </pre> </DIV>
编辑
1#
回复此人
大黑骡子王
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 根据 <code> Thymeleaf </code> 开发商, <code> RequestDataValueProcessor </code> Thymeleaf使用interface来查找额外隐藏的字段,这些字段会自动添加到表单后面。 </p> <P> 下面的代码在 <code> org/thymeleaf/spring3/processor/attr/SpringActionAttrProcessor.java </code> 显示了这个。 </p> <pre> <code> final Map<String,String> extraHiddenFields = RequestDataValueProcessorUtils.getExtraHiddenFields(arguments.getConfiguration(), arguments); </code> </pre> <P> 排序问题,并自动添加CSRF令牌;在您的应用程序中创建自定义请求数据值处理器并使用spring注册它。为此,您可以阅读以下教程。 </p> <P> <a href="http://blog.eyallupu.com/2012/04/csrf-defense-in-spring-mvc-31.html" rel="nofollow"> Spring-MVC中的Csrf防御 </A> </p> <P> <EM> 我还建议您在没有弹簧引导的情况下检查以前的Spring MVC代码,以确认项目的配置XML是否已定制 <code> RequestDataValueProcessor </code> 或不。 </EM> </p> </DIV>
编辑
2#
回复此人
满目山河
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 我有一个类似的问题。经过一些调查后我发现只有使用'th:action'属性(不是普通的'action')的表单才会注入csrf标记。 <BR/> 对于登录表单,您似乎需要手动注入csrf( <a href="http://www.baeldung.com/csrf-thymeleaf-with-spring-security" rel="nofollow noreferrer"> 链接 </A> )。 <BR/> 在官方春季文档中( <a href="https://docs.spring.io/spring-security/site/docs/current/reference/html/csrf.html#csrf-login" rel="nofollow noreferrer"> 链接 </A> )有一个建议是在登录表单提交之前检索csrf令牌以防止会话超时。在这种情况下,表单上的隐藏输入中不会有csrf标记。 </p> </DIV>
编辑
3#
回复此人
一只特立独行的猪
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 你必须做两件事。声明一个bean </p> <pre> <code> @Configuration public class SecurityConfiguration extends WebSecurityConfigurerAdapter { ... other beans ... @Bean public RequestDataValueProcessor requestDataValueProcessor() { return new CsrfRequestDataValueProcessor(); } } </code> </pre> <P> 确保主题文件模板中的html表单使用“th:action” </p> <pre> <code> <form th:action="@{/youractionurl}"> ... input tags </form> </code> </pre> <P> 这会自动插入_csrf令牌 </p> <pre> <code> <input type="hidden" name="_csrf" value="4568ad84-b300-48c4-9532-a9dcb58366f3" /> </code> </pre> </DIV>
编辑
登录
后才能参与评论
