热门标签
热门文章
- 1java实现FIFO和LRU页面置换算法_java编程实现lru算法,置换算法程序提供内存访问序列的输入界面,输出正确的置换过
- 2【selenium】解决页面加载时间过长问题_使用selenium打开网页为什么浏览器一直加载
- 3Vue常用插件总结_vite lightbox
- 4yolov5改进之Fasternet主干网络替换_fasternet改进
- 5实践练习二:手动部署3副本集群(4.0版本)_observer 启动端口
- 62024年如何成为技术创作KOL?| 分享抽龙年公仔
- 7SpringBoot 缓存(EhCache 使用)_public int save(user user) {
- 8两种方法教你在postman设置请求里带动态token_postman带token发请求
- 9【TCP专题】TCP连接断开_tcp断开连接
- 10npm安装依赖包出错问题处理_npm cache clean --force
当前位置: article > 正文
Spring Security(十一) Spring Security 中 CSRF_csrf()' is deprecated and marked for removal
作者:繁依Fanyi0 | 2024-03-06 02:32:14
赞
踩
csrf()' is deprecated and marked for removal
从刚开始学习 Spring Security 时,在配置类中一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭 csrf 防护。
1 什么是 CSRF
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“OneClick Attack” 或者 Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。
跨域:只要网络协议,ip 地址,端口中任何一个不相同就是跨域请求。
客户端与服务进行交互时,由于 http 协议本身是无状态协议,所以引入了cookie进行记录客户端身份。在cookie中会存放session id用来识别客户端身份的。在跨域的情况下,session id 可能被第三方恶意劫持,通过这个 session id 向服务端发起请求时,服务端会认为这个请求是合法的,可能发生很多意想不到的事情。
2 Spring Security 中 中 CSRF
从 Spring Security4 开始 CSRF 防护默认开启。默认会拦截请求。进行 CSRF 处理。CSRF 为了保证不是其他第三方网站访问,要求访问时携带参数名为_csrf 值为 token(token 在服务端产生)的内容,如果token 和服务端的 token 匹配成功,则正常访问。
2.1 实现步骤
2.1.1 编写控制器方法
编写控制器方法,跳转到 templates 中 login.html 页面。
-
@GetMapping( "/showLogin")
-
public String
showLogin
() {
-
return
"login";
-
}
- 1
2.1.2 新建 login.html
在项目 resources 下新建 templates 文件夹,并在文件夹中新建login.html 页面。红色部分是必须存在的否则无法正常登录。
-
<!DOCTYPE html>
-
<l html xmlns= "http://www.w3.org/1999/xhtml"
-
xmlns:
th= =
"http://www.thymeleaf.org">
-
<head>
-
<meta charset= "UTF-8">
-
<title>Title</ title>
-
</head>
-
<body>
-
<form action ="/login" method= "post">
-
<input type="hidden" th:value="${_csrf.token}" name="_csrf" th:if="${_csrf}"/>
-
用户名:
<input type="text" name= "username"/>< br/>
-
密码:
<input type="password" name= "password"/>< br/>
-
<input type="submit" value="登录"/>
-
</form>
-
</body>
-
</html>
- 1
2.1.3 修改配置类
在配置类中注释掉 CSRF 防护失效
-
//关闭 csrf 防护
-
//http.csrf().disable();
- 1
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/繁依Fanyi0/article/detail/195613?site
