scpting security requireCsrfProtectionMatcher 与 csrfTokenRepository
scpting security requireCsrfProtectionMatcher with csrfTokenRepository
我正在尝试禁用特定 url 的 Csrf。这是我到目前为止所做的:
public HttpSessionCsrfTokenRepository csrfTokenRepository() {
final HttpSessionCsrfTokenRepository tokenRepository = new HttpSessionCsrfTokenRepository();
tokenRepository.setHeaderName("X-XSRF-TOKEN");
return tokenRepository;
}
@Override
protected void configure(HttpSecurity http) throws Exception {
RequestMatcher matcher = request -> !("//j_spring_cas_security_check".equals(request.getRequestURI()));
http.csrf()
.requireCsrfProtectionMatcher(matcher)
.csrfTokenRepository(csrfTokenRepository());
如果我在所有匹配器中注释掉 requireCsrfProtectionMatcher
或简单地 return false 将不会出现错误,但是使用此配置它会给我:
HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-XSRF-TOKEN'.
我需要在 j_spring_cas_security_check
上禁用 csrf,以便单点退出和 tokenRepository
与 angularjs 一起工作。我有什么遗漏吗?
如果您不向 requireCsrfProtectionMatcher
传递任何内容,默认行为是绕过所有 GET 请求。明确提供新行为的那一刻,行为就会丢失,您还将检查 GET 请求。将代码更改为以下以允许 GET 请求。
public class CsrfRequestMatcher implements RequestMatcher {
// Always allow the HTTP GET method
private Pattern allowedMethods = Pattern.compile("^GET$");
@Override
public boolean matches(HttpServletRequest request) {
if (allowedMethods.matcher(request.getMethod()).matches()) {
return false;
}
// Your logic goes here
return true;
}
}
我正在尝试禁用特定 url 的 Csrf。这是我到目前为止所做的:
public HttpSessionCsrfTokenRepository csrfTokenRepository() {
final HttpSessionCsrfTokenRepository tokenRepository = new HttpSessionCsrfTokenRepository();
tokenRepository.setHeaderName("X-XSRF-TOKEN");
return tokenRepository;
}
@Override
protected void configure(HttpSecurity http) throws Exception {
RequestMatcher matcher = request -> !("//j_spring_cas_security_check".equals(request.getRequestURI()));
http.csrf()
.requireCsrfProtectionMatcher(matcher)
.csrfTokenRepository(csrfTokenRepository());
如果我在所有匹配器中注释掉 requireCsrfProtectionMatcher
或简单地 return false 将不会出现错误,但是使用此配置它会给我:
HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-XSRF-TOKEN'.
我需要在 j_spring_cas_security_check
上禁用 csrf,以便单点退出和 tokenRepository
与 angularjs 一起工作。我有什么遗漏吗?
如果您不向 requireCsrfProtectionMatcher
传递任何内容,默认行为是绕过所有 GET 请求。明确提供新行为的那一刻,行为就会丢失,您还将检查 GET 请求。将代码更改为以下以允许 GET 请求。
public class CsrfRequestMatcher implements RequestMatcher {
// Always allow the HTTP GET method
private Pattern allowedMethods = Pattern.compile("^GET$");
@Override
public boolean matches(HttpServletRequest request) {
if (allowedMethods.matcher(request.getMethod()).matches()) {
return false;
}
// Your logic goes here
return true;
}
}