2. 程式人生 > >Spring security csrf實現前端純html+ajax

Spring security csrf實現前端純html+ajax

阿新 發佈:2017-09-18
var light urn span 同時 pan mode eth res

spring security集成csrf
進行post等請求時,為了防止csrf攻擊,需要獲取token才能訪問

因此需要添加

<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>


動態獲取token

這樣的話,需要使用jsp或模板引擎

但又想使用純html+ajax.很難受

最近想到了一個辦法

通過ajax獲取token,後端仍使用jsp或freemarker之類的模板引擎

但前端可實現純html+ajax,瞬間感覺釋放

首先定義一個模板_csrf.ftl或_cscf.jsp等,內容為

<meta name="_csrf" content="${_csrf.token}"/>
<meta name="_csrf_header" content="${_csrf.headerName}"/>

然後寫一個URI,返回的視圖為_csrf.ftl,以spring mvc為例

@RequestMapping(path = "/jsp/common/_csrf",method = RequestMethod.GET)
 public String _csrf(Model model){
      return "/jsp/common/_csrf";
 }

前端將token使用js append到header中,同時設置ajaxSetup的beforeSend,使其發送請求的時候將token放到請求頭、

<script>
$(function () {
function getCsrfToken(){
   $.get("${basePath}/jsp/common/_csrf",function(data){
            $("head").append(data);
            var token = $("meta[name=‘_csrf‘]").attr("content");
            var header = $("meta[name=‘_csrf_header‘]").attr("content");
            $.ajaxSetup({
                 beforeSend: function (xhr) {
                  if(header && token ){
                      xhr.setRequestHeader(header, token);
                  }
             }
          });
     });
   }
  getCsrfToken()
})
</script>

只要在有post等需要token的請求頁面添加上面的代碼,即可愉快的寫ajax了

最主要的是安全性,不知道這樣能不能保證token不被csrf利用

因為其放置token的位置和使用方式和一般的方式是一樣的,所以暫且認為是安全的,畢竟請求還是需要token

Spring security csrf實現前端純html+ajax

相關推薦

Spring security csrf實現前端html+ajax

var light urn span 同時 pan mode eth res spring security集成csrf進行post等請求時,為了防止csrf攻擊,需要獲取token才能訪問 因此需要添加 <input type="hidden" name="${_

Spring Security簡單實現自定義退出功能

1.前端頁面寫法 <a href="javascript:;" onclick="logoutBackground()">退出</a> 2.js /** * 退出後臺 */ function logoutBackground() { $.get("/

Spring Security 案例實現和執行流程剖析

線上演示 演示地址:http://139.196.87.48:9002/kitty 使用者名稱:admin 密碼:admin Spring Security Spring Security 是 Spring 社群的一個頂級專案,也是 Spring Boot 官方推薦使用的安全框架。除了常規的認證(Au

spring security CSRF防護

也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興! CSRF是指跨站請求偽造(Cross-site request forgery),是web常見的攻擊之一。 從Spring Securit

Spring Security實現圖形驗證碼功能、實現"記住我"功能

說在前面 博主最近會有很多專案跟大家一起分享,做完後會上傳github上的,希望讀友們能給博主提提意見哈哈 這個專案是第三方登入和安全方面的,關於後臺與a

Spring Security + JWT 實現基於Token的安全驗證

@Configuration @EnableWebSecurity //新增annotation 支援,包括(prePostEnabled,securedEnabled...) @EnableGlobalMethodSecurity(prePostEnabled = true) public class W

Spring Security OAuth2 實現SSO

SSO即Single Sign-On,單點登入,即授權伺服器形式,通過在一個網站上登入完後,給予過授權的就可以直接用這個帳號資訊登入了,類似於qq微信登入其他APP。 本篇文章,將利用Spring Security實現簡單的單點登入中需要的,認證伺服器和客戶端

SpringCloud+SpringBoot+OAuth2+Spring Security+Redis實現的微服務統一認證授權

因為目前做了一個基於Spring Cloud的微服務專案,所以瞭解到了OAuth2,打算整合一下OAuth2來實現統一認證。關於OAuth是一個關於授權的開放網路標準,目前的版本是2.0,這裡我就不多做介紹了。下面貼一下我學習過程中參考的資料。 理解OAuth 2.0——阮一峰 Spring

SpringBoot+Spring Security Oauth2實現客戶端授權

框架使用SpringBoot 1.5 + Spring Security Oauth2 主要完成了客戶端授權 可以通過mysql資料庫 將客戶端與token資訊儲存在資料庫中。 每次授權會將新的token儲存在mysql中,進行客戶端驗證時,先會從資料庫中查詢客

(二)如何使用spring-security實現使用者的登入許可權功能?(配合使用資料庫的方式)

如何使用spring-security來實現使用者的登入功能之配合使用資料庫的方式 這個圖大家先熟悉一下簡單的過一遍,等把步驟都寫完之後,後面會總結 (一)使用spring-security之前需要做的準備(基於springMVC和dubbo的專案)

(一)如何使用Spring-security實現登入驗證功能(XML配置方式)?

先從使用xml的方式來實現使用者的許可權登入 (1)需要在maven工程中加上關於spring-secutity的jar包的依賴 //spring-securityd 有關的依賴 <

Spring Security 簡單實現使用者登陸

Spring Security 實現使用者登陸 本文僅介紹Spring Security的基本使用。 Spring Security簡介 Spring Security 基於 Spring 框架,提供了一套 Web 應用安全性的完整解決方案。Web 應用的安全性包括使用者認證(A

Spring Boot後臺腳手架搭建 [五] Spring Security登入實現以及認證過程

Spring Security實現登入spring security的配置    SecurityConfig@Override protected void configure(HttpSecurity http) throws Exception { //跨站請求偽造禁用

springboot+spring security+mybaits實現登入許可權管理

序:本文采用springboot+spring security+mybatis來解決登入許可權管理的問題。由於是新人,所以在操作方面講得比較詳細。話不多說,直接來開始我們的專案。1 建立springboot+spring security+mybatis 專案這裡我們採用了

Spring Security OAuth2實現使用JWT

在Spring Security Oauth2-授權碼模式(Finchley版本)一文中介紹了OAuth2的授權碼模式的實現,本文將在這篇文章的基礎上使用JWT生成token。關於JWT的介紹可以參考JWT詳解。 一、準備工作 新增JWT依賴 授權服務和資源

SpringBoot+Spring Security無法實現跨域解決辦法

未使用Security時跨域: import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframewor

基於spring-security-oauth2實現單點登入(持續更新)

##基於spring-security-實現資料庫版## 文章程式碼地址:[連結描述][1]可以下載直接執行,基於springb

springBoot整合spring security+JWT實現單點登入與許可權管理前後端分離--築基中期

## 寫在前面 在前一篇文章當中,我們介紹了springBoot整合spring security單體應用版,在這篇文章當中,我將介紹springBoot整合spring secury+JWT實現單點登入與許可權管理。 本文涉及的許可權管理模型是**基於資源的動態許可權管理**。資料庫設計的表有 user

【手摸手,帶你搭建前後端分離商城系統】03 整合Spring Security token 實現方案,完成主業務登入

## 【手摸手,帶你搭建前後端分離商城系統】03 整合Spring Security token 實現方案,完成主業務登入 上節裡面,我們已經將基本的前端 `VUE + Element UI` 整合到了一起。並且通過 `axios` 傳送請求到後端API。 解決跨域問題後、成功從後端獲取到資料。 本小結

spring-boot整合spring-security實現簡單登入(ajax登入實現)

平常再做一些專案時,有些專案並不需要複雜的登入許可權驗證 只需要簡單登入許可權驗證(保證安全可靠的前提下),找來找去只有spring-security最適合不過了,在spring-boot下配置簡單 便捷 快速 能滿足基本的登入許可權控制需求。 第一步:引入spring