2. 程式人生 > >Spring Security筆記:解決CsrfFilter與Rest服務Post方式的矛盾

Spring Security筆記:解決CsrfFilter與Rest服務Post方式的矛盾

阿新 發佈:2019-01-30

基於Spring Security+Spring MVC的web應用,為了防止跨站提交攻擊,通常會配置csrf,即:

1     <http ...>
2         ...
3         <csrf />        
4     </http>

如果應用中有Post方式訪問的Rest服務(參考下面的程式碼),會很不幸的發現,所有POST方式請求的服務會呼叫失敗。

複製程式碼 
1     @RequestMapping(value = "/user/create", method = RequestMethod.POST)
2     @ResponseBody

 
3     public UserInfo createUser(@RequestBody(required = true) UserInfo user,
4             HttpServletRequest request, HttpServletResponse response)
5             throws Exception {
6         ...
7     }
複製程式碼

原因在於:啟用csrf後,所有http請求都被會CsrfFilter攔截,而CsrfFilter中有一個私有類DefaultRequiresCsrfMatcher

複製程式碼 
 1     private
 
 static final class DefaultRequiresCsrfMatcher implements RequestMatcher {
 2         private Pattern allowedMethods = Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$");
 3 
 4         /* (non-Javadoc)
 5          * @see org.springframework.security.web.util.matcher.RequestMatcher#matches(javax.servlet.http.HttpServletRequest)

 
 6          */
 7         public boolean matches(HttpServletRequest request) {
 8             return !allowedMethods.matcher(request.getMethod()).matches();
 9         }
10     }
複製程式碼

從這段原始碼可以發現,POST方法被排除在外了,也就是說只有GET|HEAD|TRACE|OPTIONS這4類方法會被放行,其它Method的http請求,都要驗證_csrf的token是否正確,而通常post方式呼叫rest服務時,又沒有_csrf的token,所以校驗失敗。

解決方法:自己弄一個Matcher

複製程式碼 
 1 package com.cnblogs.yjmyzz.utils;
 2 
 3 import java.util.List;
 4 import java.util.regex.Pattern;
 5 
 6 import javax.servlet.http.HttpServletRequest;
 7 
 8 import org.springframework.security.web.util.matcher.RequestMatcher;
 9 
10 public class CsrfSecurityRequestMatcher implements RequestMatcher {
11     private Pattern allowedMethods = Pattern
12             .compile("^(GET|HEAD|TRACE|OPTIONS)$");
13 
14     public boolean matches(HttpServletRequest request) {
15 
16         if (execludeUrls != null && execludeUrls.size() > 0) {
17             String servletPath = request.getServletPath();
18             for (String url : execludeUrls) {
19                 if (servletPath.contains(url)) {
20                     return false;
21                 }
22             }
23         }
24         return !allowedMethods.matcher(request.getMethod()).matches();
25     }
26 
27     /**
28      * 需要排除的url列表
29      */
30     private List<String> execludeUrls;
31 
32     public List<String> getExecludeUrls() {
33         return execludeUrls;
34     }
35 
36     public void setExecludeUrls(List<String> execludeUrls) {
37         this.execludeUrls = execludeUrls;
38     }
39 }
複製程式碼

這裡添加了一個屬性execludeUrls,允許人為排除哪些url。

然後在配置檔案裡,這樣修改:

複製程式碼 
 1     <http entry-point-ref="loginEntryPoint" use-expressions="true">
 2         ...
 3         <intercept-url pattern="/rest/**" access="permitAll" />
 4         ...
 5         <csrf request-matcher-ref="csrfSecurityRequestMatcher"/>        
 6     </http>
 7     
 8     <beans:bean id="csrfSecurityRequestMatcher" class="com.cnblogs.yjmyzz.utils.CsrfSecurityRequestMatcher">
 9         <beans:property name="execludeUrls">
10             <beans:list>
11                 <beans:value>/rest/</beans:value>
12             </beans:list>
13         </beans:property>
14     </beans:bean>
複製程式碼

這裡約定所有/rest/開頭的都是Rest服務地址,上面的配置就把/rest/排除在csrf驗證的範圍之外了.

相關推薦

Spring Security筆記解決CsrfFilterRest服務Post方式矛盾

基於Spring Security+Spring MVC的web應用,為了防止跨站提交攻擊,通常會配置csrf,即: 1 <http ...> 2 ... 3 <csrf /> 4

筆記mysql 下載安裝

blog utf8 字符 data strong def services -1 個人 1.下載: 官網下載是需要註冊的,或者你已經有了Oracle的賬號. 可以直接百度 mysql 進入官網;或者直接下面的鏈接; 附上鏈接:dev.mysql.com/downloa

[Other]面試復習筆記線程進程復習

處理機 sse 進程上下文 提高 關系 數據查詢 優點 con 計數器 基本概念1. 進程的基本概念線程(thread)是進程(processes)中某個單一順序的控制流,也被稱為輕量進程(lightweight processes)。進程是表示資源分配的基本單位,又是調

spring security筆記

ref nbsp 內容 ger pre conf 不為 默認 mes 當指定http元素的auto-config=”true”時,就相當於如下內容的簡寫。 <security:http> <security:form-login/>

Spring Security 實戰QQ登錄實現

修改 str 騰訊 open index targe 登錄 pri architect 準備工作1、在 QQ互聯 申請成為開發者,並創建應用,得到APP ID 和 APP Key。2、了解QQ登錄時的 網站應用接入流程。(必須看完看懂)為了方便各位測試,直接把我自己申

張高興的 Xamarin.Forms 開發筆記為 Android iOS 引入 UWP 風格的漢堡菜單 ( MasterDetailPage )

操作 using eat stp 取消 height 新建 屬性 turn   所謂 UWP 樣式的漢堡菜單,我曾在“張高興的 UWP 開發筆記:漢堡菜單進階”裏說過,也就是使用 Segoe MDL2 Assets 字體作為左側 Icon,並且左側使用填充顏色的矩形用來表示

Spring Boot實戰攔截器過濾器

www container extends post 代理 init 切面 請求 一個 一、攔截器與過濾器   在講Spring boot之前,我們先了解一下過濾器和攔截器。這兩者在功能方面很類似,但是在具體技術實現方面,差距還是比較大的。在分析兩者的區別之前,

Spring實戰筆記Spring核心(一)

spring bean spring core一.簡介: 1.依賴註入(DI) 優點:解耦 Spring 通過應用上下文(Application Context)裝載bean的定義,並把它們組裝起來。 Spring應用上下文負責對象的創建和組裝。 ClassPathXm

Spring實戰筆記Web中的Spring

web spring一.構建Spring Web應用1.Spring MVC中用戶請求處理 上圖展示了請求使用Spring MVC所經歷的所有站點。 1:在請求離開瀏覽器時,會帶有所有請求內容的信息,至少會包含請求的URL。 請求通過Spring的DispatcherServlet前

Spring實戰筆記Spring集成

Spring RPC REST 消息 一.使用遠程服務 遠程調用是客戶端應用和服務端之間的會話。 1.Spring通過多種遠程調用技術支持RPC(remote procedure call,遠程過程調用)RPC模型使用場景RMI不考慮網絡限制時(例如防火墻),訪問/發布基於Java

Spring實戰筆記後端中的Spring

spring 數據庫 緩存 安全 一.使用對象-關系映射持久化數據 對象/關系映射(object-relational mapping,ORM)。 在持久層使用ORM工具可以節省術前行代碼和大量開發時間。 Spring對ORM框架的支持提供了與這些框架的集成點以及一些附加的服

Spring Security權限框架理論簡單Case

c-based db4 又能 出了 lte pen andro -o string Spring Security權限管理框架介紹 Spring Security 提供了基於javaEE的企業應用軟件全面的安全服務。這裏特別強調支持使用Spring框架構件的項目,Sprin

SpringMVC學習筆記單例並發問題

一個 獲得 app parseint 本地服務 屬性 als min c學習 Spring中的Bean默認都是單例(singleton),Spring中Bean的scope屬性有五種類型: singleton 表示在spring容器中的單例,通過spring容器獲得該be

筆記MyBatis中$#的區別

首先MyBatis中 $與#都是動態傳參 # 將傳入的資料都當成一個字串,會對自動傳入的資料加一個雙引號 $ 將傳入的資料直接顯示生成在sql中 # 佔位符號,能夠很大程度防止sql注入「語句的拼接」 $ sql拼接符號,無法防止Sql注入 如果使用在order by中就需要使用 $

android開發筆記MainActivity.javaactivity_main.xml

https://www.jianshu.com/p/f5e56fb2f215 剛開始開發android的時候,新建一個activity總是會新建兩個檔案,我們已預設命名MainActivity.java與activity_main.xml兩個檔案來給大家介紹。 activity

Java學習筆記C/S B/S 區別!

C/S 是Client/Server 的縮寫,是客戶機與伺服器結構的應用程式;B/S是Brower/Server 的縮寫,是瀏覽器和伺服器結構的應用程式,即Web 應用程式。C/S 與B/S 區別如下: 1)硬體環境不同: C/S 一般建立在專用的網路上, 小範圍裡的網路環境, 區域網

Spring Security 配置多個標籤HttpSecurity對應關係

在把以前的xml配置改到java配置,找了半天沒找到…於是試出來以後才在官方文件搜尋到 引用一句話:         http擁有一個匹配URL的pattern(對應.antMatcher()),未指定時表示匹配所有的請求,其下的子

spring boot整合spring security筆記

最近自己做了一個小專案,正在進行springboot和spring Security的整合,有一丟丟的感悟,在這裡分享一下:     首先,spring boot整合spring security最好是使用Thymleaf,因為spring boot官方支援使用thymleaf,這樣的話

#Java學習筆記C/S B/S 區別!

C/S 是Client/Server 的縮寫,是客戶機與伺服器結構的應用程式;B/S是Brower/Server 的縮寫,是瀏覽器和伺服器結構的應用程式,即Web 應用程式。C/S 與B/S 區別如下: 如果有想要學習java的小夥伴,可來我們的java學習扣裙

C語言基礎知識筆記day4字串字元陣列

注:本筆記為直接上傳,因各個markdown筆記語法的差異性,在顯示上略有區別。 如需原版請聯絡:[email protected]。(郵件主題為:學習筆記,正文需要的筆記名,可以直接複製該筆記的網址)。同時歡迎各位一起學習交流。 day4字串與字元陣