HTTP Status 403
来源:互联网 发布:远场sar成像算法 编辑:程序博客网 时间:2024/06/17 09:55
一、问题日志:
HTTP Status 403 - Invalid CSRF Token ‘null’ was found on the request parameter ‘_csrf’ or header ‘X-CSRF-TOKEN’
二、问题原因:
Spring Security 4.0之后,引入了CSRF,默认状态为开启。CSRF和RESTful技术有冲突。CSRF默认支持的方法: GET|HEAD|TRACE|OPTIONS,不支持POST。CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack” 或者Session Riding,攻击方通过伪造用户请求访问受信任站点。
三、采用的解决办法:
(1)方法一、
修改工程下WebSecurityConfig.java
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers(“/”, “/home”).permitAll()
.and()
.formLogin()
.loginPage(“/login”).permitAll()
.and()
.logout().logoutUrl(“/logout”)
.logoutSuccessUrl(“/hello”)
.permitAll();
http.csrf().disable();//在原本的配置文件下添加这行代码,禁用security的csrf
}
(2)方法二、
将http.csrf().disable();注释掉
@Override protected void configure(HttpSecurity http) throws Exception { //http.csrf().disable(); http.authorizeRequests() .antMatchers("/", "/springbootbase").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .failureUrl("/login?error") .permitAll() //5 .and() .logout().permitAll(); }将index.html 改成JSP 文件: index.jsp
将csrf token 作为表单的隐藏域一起提交即可解决
<!DOCTYPE html><html xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4"><head> <title>Hello World!</title></head><body> <h1 th:inline="text">Hello World</h1> <form th:action="@{/logout}" action="./logout" method="post"> <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/> <input type="submit" value="Sign Out"/> </form></body></html>重启tomcat server, 运行
参考博文:
http://blog.csdn.net/u012373815/article/details/55047285
http://blog.csdn.net/ltwang_tech/article/details/55100271?locationNum=7&fps=1
http://blog.csdn.net/wyccyw123456/article/details/51778398
http://blog.csdn.net/hong0220/article/details/52922381
- HTTP Status 403
- HTTP Status 403
- http status
- HTTP::Status
- http status
- HTTP STATUS
- http status
- HTTP status codes(转)
- tomcat HTTP Status 404
- Http status code
- HTTP Status 404
- HTTP Status Code
- HTTP Status 500 -
- HTTP状态Response.Status
- Http status 错误
- HTTP Status 代表含义
- HTTP Status 500
- HTTP Status 404解决办法
- Web前端学习准备
- UVALive 4128 Steam Roller
- Rxjava
- Servlet教程____Servlet简介和工作原理
- JVM内存模型你只要看这一篇就够了
- HTTP Status 403
- 简单工场、工场方法、抽象工厂模式浅析
- 一、面向对象的六大原则
- C语言 static 解析
- AtCoder Grand Contest 017做题记录
- 客户需求解密板子里面的加密文件,qt做的openssl的加解密的tool
- 机顶盒操作时常用的一些基本命令
- Codeforces 514C Watto And Mechanism 哈希
- PHP入门必选
