当要发送的请求是多部分请求时，Spring CSRF 令牌不起作用

2024-01-26

I use,

Spring 框架 4.0.0 发布（GA）
Spring Security 3.2.0 发布（正式版）
支柱 2.3.16

其中，我使用内置的安全令牌来防范 CSRF 攻击。

Struts 表单如下所示。

<s:form namespace="/admin_side"
        action="Category"
        enctype="multipart/form-data"
        method="POST"
        validate="true"
        id="dataForm"
        name="dataForm">

    <s:hidden name="%{#attr._csrf.parameterName}"
              value="%{#attr._csrf.token}"/>
</s:form>

生成的HTML代码如下。

<form id="dataForm"
      name="dataForm"
      action="/TestStruts/admin_side/Category.action"
      method="POST"
      enctype="multipart/form-data">

    <input type="hidden"
           name="_csrf"
           value="3748c228-85c6-4c3f-accf-b17d1efba1c5" 
           id="dataForm__csrf">
</form>

这工作正常，除非请求是多部分的在这种情况下，请求以状态代码 403 结束。

HTTP 状态 403- 在请求中发现无效的 CSRF 令牌“null” 参数“_csrf”或标头“X-CSRF-TOKEN”。

type状况报告

message在请求参数中发现无效的 CSRF 令牌“null” “_csrf”或标头“X-CSRF-TOKEN”。

描述对指定资源的访问已被禁止。

The spring-security.xml文件如下。

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
             xmlns:beans="http://www.springframework.org/schema/beans"
             xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
             xsi:schemaLocation="http://www.springframework.org/schema/beans
           http://www.springframework.org/schema/beans/spring-beans-4.0.xsd
           http://www.springframework.org/schema/security
           http://www.springframework.org/schema/security/spring-security-3.2.xsd">

    <http pattern="/Login.jsp*" security="none"></http>

    <http auto-config='true' use-expressions="true" disable-url-rewriting="true" authentication-manager-ref="authenticationManager">
        <session-management session-fixation-protection="newSession">
            <concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
        </session-management>

        <csrf/>

        <headers>
            <xss-protection />
            <frame-options />
            <!--<cache-control />-->
            <!--<hsts />-->
            <content-type-options /> <!--content sniffing-->
        </headers>

        <intercept-url pattern="/admin_side/**" access="hasRole('ROLE_ADMIN')" requires-channel="any"/>
        <form-login login-page="/admin_login/Login.action" authentication-success-handler-ref="loginSuccessHandler" authentication-failure-handler-ref="authenticationFailureHandler"/>
        <logout logout-success-url="/admin_login/Login.action" invalidate-session="true" delete-cookies="JSESSIONID"/>
    </http>

    <beans:bean id="encoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>

    <beans:bean id="daoAuthenticationProvider" class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">
        <beans:property name="userDetailsService" ref="userDetailsService"/>
        <beans:property name="passwordEncoder" ref="encoder" />
    </beans:bean>

    <beans:bean id="authenticationManager" class="org.springframework.security.authentication.ProviderManager">
        <beans:property name="providers">
            <beans:list>
                <beans:ref bean="daoAuthenticationProvider" />
            </beans:list>
        </beans:property>
    </beans:bean>

    <authentication-manager>
        <authentication-provider user-service-ref="userDetailsService">
        </authentication-provider>
    </authentication-manager>

    <beans:bean id="loginSuccessHandler" class="loginsuccesshandler.LoginSuccessHandler"/>
    <beans:bean id="authenticationFailureHandler" class="loginsuccesshandler.AuthenticationFailureHandler" />

    <global-method-security secured-annotations="enabled" proxy-target-class="false" authentication-manager-ref="authenticationManager">
        <protect-pointcut expression="execution(* admin.dao.*.*(..))" access="ROLE_ADMIN"/>
    </global-method-security>
</beans:beans>

那么，当请求是多部分的时，在哪里寻找这个令牌呢？（这应该与 Struts 完全无关。）

_{The implementation of UserDetailsService can be found in this https://stackoverflow.com/q/20919913/1391249 earlier question of mine, if needed.}

Placing MultipartFilter在Spring Security之前 http://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#csrf-multipartfilter也没有帮助。

The web.xml文件如下所示。

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="3.0"
         xmlns="http://java.sun.com/xml/ns/javaee" 
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
         xsi:schemaLocation="http://java.sun.com/xml/ns/javaee 
         http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd">

    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>
            /WEB-INF/applicationContext.xml
            /WEB-INF/spring-security.xml
        </param-value>
    </context-param>

    <filter>
        <filter-name>MultipartFilter</filter-name>
        <filter-class>org.springframework.web.multipart.support.MultipartFilter</filter-class>
    </filter>

    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>

    <filter-mapping>
        <filter-name>MultipartFilter</filter-name>
        <servlet-name>/*</servlet-name>
    </filter-mapping>

    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <filter>
        <filter-name>AdminLoginNocacheFilter</filter-name>
        <filter-class>filter.AdminLoginNocacheFilter</filter-class>
    </filter>

    <filter-mapping>
        <filter-name>AdminLoginNocacheFilter</filter-name>
        <url-pattern>/admin_login/*</url-pattern>
    </filter-mapping>

    <filter>
        <filter-name>NoCacheFilter</filter-name>
        <filter-class>filter.NoCacheFilter</filter-class>
    </filter>

    <filter-mapping>
        <filter-name>NoCacheFilter</filter-name>
        <url-pattern>/admin_side/*</url-pattern>
    </filter-mapping>

    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>

    <listener>
        <description>Description</description>
        <listener-class>org.springframework.web.context.request.RequestContextListener</listener-class>
    </listener>

    <listener>
        <listener-class>org.springframework.security.web.session.HttpSessionEventPublisher</listener-class>
    </listener>

    <filter>
        <filter-name>struts2</filter-name>
        <filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>
        <init-param>
            <param-name>struts.devMode</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>

    <filter-mapping>
        <filter-name>struts2</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <session-config>
        <session-timeout>
            30
        </session-timeout>
    </session-config>
    <welcome-file-list>
        <welcome-file>index.jsp</welcome-file>
    </welcome-file-list>
</web-app>

仅当令牌作为查询字符串参数附加时才有效，如下所示，但不鼓励这样做。

<s:form namespace="/admin_side"
        action="Category?%{#attr._csrf.parameterName}=%{#attr._csrf.token}"
        enctype="multipart/form-data"
        method="POST"
        validate="true"
        id="dataForm"
        name="dataForm">
    ...
<s:form>

如果您使用@annotations，并且jsp视图如下所示：

    <form:form id="profileForm" action="profile?id=${param.id}" method="POST" 
          modelAttribute="appUser" enctype="multipart/form-data" >
             ...
            <input type="file" name="file">
             ...
            <input type="hidden" name="${_csrf.parameterName}"
                value="${_csrf.token}" />
    </form:form>

这可能有帮助：

应用程序配置.java：

@EnableWebMvc
@Configuration
@Import({ SecurityConfig.class })
public class AppConfig {

   @Bean(name = "filterMultipartResolver")
   public CommonsMultipartResolver filterMultipartResolver() {
      CommonsMultipartResolver filterMultipartResolver = new CommonsMultipartResolver();
      filterMultipartResolver.setDefaultEncoding("utf-8");
      // resolver.setMaxUploadSize(512000);
      return filterMultipartResolver;
}
...

SecurityConfig.java 扩展了 WebSecurityConfigurerAdapter 并且是 SpringSecurity 的配置

multipart/form-data 过滤器（MultipartFilter）需要在启用 CSRF 的 SecurityConfig 之前注册。你可以这样做：

安全初始化器.java：

public class SecurityInitializer extends
AbstractSecurityWebApplicationInitializer {

@Override
protected void beforeSpringSecurityFilterChain(ServletContext servletContext) {
   super.beforeSpringSecurityFilterChain(servletContext);

   // CSRF for multipart form data filter:
   FilterRegistration.Dynamic springMultipartFilter;
   springMultipartFilter = servletContext.addFilter(
    "springMultipartFilter", new MultipartFilter());
   springMultipartFilter.addMappingForUrlPatterns(null, false, "/*");

}
}

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Spring

Struts2

SpringSecurity

CSRF

csrfprotection

当要发送的请求是多部分请求时，Spring CSRF 令牌不起作用的相关文章

spring-data-mongodb 在重新水化对象时到底如何处理构造函数？

我读过了http static springsource org spring data data mongo docs 1 1 0 RELEASE reference html mapping chapter http static sp
Spring Batch 多线程 - 如何使每个线程读取唯一的记录？

这个问题在很多论坛上都被问过很多次了但我没有看到适合我的答案我正在尝试在我的 Spring Batch 实现中实现多线程步骤有一个包含 100k 条记录的临时表想要在 10 个线程中处理它每个线程的提交间隔为 300 因此在任何时
操作错误不会显示在 JSP 上

我尝试在 Action 类中添加操作错误并将其打印在 JSP 页面上当发生异常时它将进入 catch 块并在控制台中打印插入异常时出错请联系管理员在 catch 块中我添加了它addActionError 我尝试在jsp页面中打
Spring Boot @ConfigurationProperties 不从环境中检索属性

我正在使用 Spring Boot 1 2 1 并尝试创建一个 ConfigurationProperties带有验证的bean 如下所示 package com sampleapp import java net URL import j
客户端发送的请求语法错误。-Spring MVC + JDBC 模板

我是 Spring MVC 的新手我在运行项目时遇到错误错误客户端发送的请求在语法上不正确我有一个实体类 PatientInfo 我的jsp页面是demo1 我的控制器是患者控制器我想要实现的功能是将值插入数据库但我无法在控制器中
将 yaml 中的列表映射到 Scala 中的对象列表（Spring Boot）

背景我已经阅读了很多关于如何使用的示例ConfigurationProperties从配置中读取列表见下文 https github com konrad garus so yaml https github com konrad ga
如何从另一个 Flux 中排除 Flux 中的所有元素

我有两个Flux一个用于成功元素另一个用于保存错误元素 Flux
无法使用 Struts 2 重定向 JSP 文件并显示值

我创建了一个简单的程序使用文本字段获取用户的名字和姓氏但问题是当我单击提交按钮时我无法将其重定向到另一个显示用户名字和姓氏的 jsp 文件这是我的HelloAction class package com novamsc trai
Spring：如何在主bean创建后初始化相关的惰性bean

我有带有延迟初始化 bean 的代码 Component Lazy class Resource Component Lazy CustomProcessor class ResourceProcessorFoo Autowired pub
如何从单独的 Jars 加载 @Configuration 类

我有一个 SpringBoot 主应用程序以及一个单独的 Maven 模块项目该项目编译为单独的 Jar 该模块有一个 Spring 配置类注释为 Configuration 我想在主应用程序加载时加载它显然这并不是开箱即用的只
无法为数据库添加 SSL 支持

我正在使用 Spring 3 Hibernate 和 postgres 9 2 为了启用 SSL 数据库连接我按照以下步骤操作创建自签名证书参考 http www postgresql org docs 9 2 static ssl
将 spring-security 与 spring-webflux 结合使用时禁用 WebSession 创建

我正在使用 Rest api 运行无状态 spring boot 应用程序并希望按照所述禁用 WebSessions 的创建https www baeldung com spring security session https www
@OneToMany 与 @JoinTable 错误

我试图理解 OneToMany with JoinTable 对于这样的场景我正在使用 JPA 2 1 Hibernate 5 0 4 和 Oracle 11 XE 当我打电话时userDao save user 下面的代码我有 jav
如果基于 Spring 注解的控制器位于 jar 文件内，则该控制器无法工作

我的子模块中有一些基于注释的控制器这些模块作为 jar 文件部署 jar 文件中基于注释的控制器未加载到 spring 配置中我使用 Eclipse 中的导出实用程序手动导出 jar 文件有人遇到过这个问题吗当您使用 Eclipse
如果有@Entity，为什么还需要“annotatedClasses”？

你好我正在构建 spring hibernate 应用程序我真的需要从下面进行配置吗
当请求输入无效时，控制器周围的 Spring AOP 不起作用

我已经使用编写了一个请求响应记录器 Around Around value execution com xyz example controller public Object logControllers ProceedingJoinP
不同帐户上的 Spring Boot、JmsListener 和 SQS 队列

我正在尝试开发一个 Spring Boot 1 5 应用程序该应用程序需要侦听来自两个不同 AWS 帐户的 SQS 队列是否可以使用 JmsListener 注解创建监听器我已检查权限是否正确我可以使用 getQueueUrl 获取
如何在 Spring-JUnit 测试中设置 JNDI 查找？

我正在使用 Maven 3 0 3 Spring 3 1 0 RELEASE 和 JUnit 4 8 1 如何在容器外部创建 JNDI 功能在我的例子中是 JBoss 我认为 Spring 的 jndiTemplate 可以解决这个问题
Spring 3 匹配通配符严格，但找不到元素 'jee:jndi-lookup' 的声明

所以我遇到了与这里类似的问题 Spring 3 0错误匹配通配符严格但找不到元素的声明 https stackoverflow com questions 8651781 spring 3 0 error the matching wi
使用 CXF-RS 组件时，为什么我们使用而不是普通的？

作为后续这个问题 https stackoverflow com questions 20598199 对于如何正确使用CXF RS组件我还是有点困惑我很困惑为什么我们需要

随机推荐

C# TagLib 设置 Mp3 专辑封面

我有一个 mp3 文件我想向其中添加专辑封面艺术作品已保存到临时文件夹中我已检查过它它就在那里并且是 jpeg 这是我给出的代码 public void AddMp3Tags TagLib File file TagLib File
JavaScript；如何设置三位数字后的点？

我有以下 JavaScript 代码 var calculation select name somevalue1 option selected data calc select name somevalue1 option select
在 EF Core 中设置默认日期时间值

所以问题是我无法设置模型以便迁移显示DateTimeKind Utc代替DateTimeKind Unspecified我正在这样做 contactsConfiguration Property c gt c DateAdded Value
在C++中连接两个大文件

我有两个 std ofstream 文本文件每个文件有一百多兆我想将它们连接起来使用 fstream 存储数据来创建单个文件通常会因大小太大而导致内存不足错误有没有比 O n 更快的方法来合并它们文件 1 160MB 0 1 3
GraphQL - 将枚举值作为参数直接传递给突变？

给出以下 GraphQL 类型定义 const typeDefs enum Action update delete type Mutation doSomething action Action 此查询有效 const query mut
C 中的异常处理 - setjmp() 返回 0 有什么用？

我有一些有关 setjmp longjmp 使用的问题 setjmp jmp buf stackVariables 返回 0 有什么用它是默认值我们无法影响 setjmp stackVariables 的唯一意义就是将 stackVar
如何从 Java 调用具体的 Scala 特征方法？

我有一个 Java Scala 混合 Maven 项目我需要重用 Saddle 方法make具体定义为称为特征的一部分Index 方法已定义here https github com saddle saddle blob master s
在多屏幕环境中最大化窗口而不隐藏/阻止任务栏

这是一篇写给所有曾经问过自己如何在多屏幕设置中最大化窗口而不阻塞任务栏的人的文章问题似乎是一个窗口最大化框 and 最小化框设置为 false 并且在多屏幕环境中以编程方式最大化涵盖entire屏幕不仅是屏幕工作区为了仅最大化工
行为和事件触发器有什么区别？

在 Xamarin Forms 中你有行为 https developer xamarin com guides cross platform xamarin forms working with behaviors 对某些事件执行某些操作
使用 try-with-resources 语句声明 Stream 与不使用 try-with-resources 语句有什么区别？

在Java 8中 Stream 即AutoCloseable 不能被重用一旦被消耗或使用流将被关闭那么用 try with resources 语句声明的实用程序是什么 try with resources 语句的示例 public
选择量角器中的第一个可见元素

我正在编写量角器测试并且喜欢它尽管有时似乎会陷入一些看起来应该很简单的事情例如我想循环浏览其中一个页面上包含提名文本的所有按钮页面上有几十个但只有 1 或 2 个可见所以我想点击第一个这是我当前使用的代码 var nomi
在 Rails 模型中动态生成范围

我想动态生成范围假设我有以下模型 class Product lt ActiveRecord Base POSSIBLE SIZES small medium large scope small where size small scop
通过 https 运行 Angular Cli Ng Serve 2018

有没有办法可以通过 https 运行我的 Angular localhost 我尝试了一些不同的教程但没有任何效果我尝试过通过 https 为您的 Angular cli 应用程序提供服务 https freerangeeggs net
NodeJS Mongo - Mongoose - 动态集合名称

所以我想创建一个基于客户端的分区模式其中我将集合名称设置为 function 我的伪代码是这样的 var mongoose require mongoose Schema mongoose Schema var ConvForUserS
刷新令牌的正确方法

有一个功能getUser in RequestManager class那叫我的VC func getUser onCompletion escaping result User error String gt Void Alamofire
Elmah.MVC 在生产环境中不记录错误

我使用以下命令将 Elmah MVC 安装到我的 MVC 项目中Elmah MVC Nuget 包 http nuget org packages Elmah MVC 它在开发环境中工作正常但是当我将网站上传到托管服务器 IIS7 时它
如何旋转仪表图表中的刻度盘？情节地使用Python

我最近开始使用plotlypython 中的仪表图包完成教程和模板后here https plot ly python gauge charts 我想知道是否有办法在给定角度值的情况下旋转表盘或针有人建议我使用 css 转换做到这
如何将图例放置在带边框的字段集中？ [复制]

这个问题在这里已经有答案了根据网络上的几个参考文献不可能定位图例所以建议用span包裹起来 legend span Foo span legend 然后我们可以将跨度定位在字段集中但是当我想在字段集顶部添加边框时图例有一个间隙幸
使用 openGL 的粒子过滤器扫描线

我正在用 C 实现用于 3D 立方体跟踪的粒子过滤器在为粒子分配权重时我遇到了一个重大问题因为权重基于样本点和像素之间的距离误差在本例中如下所述目前我可以从笔记本电脑上的摄像头获取视频流将其显示在屏幕上并在其上绘制粒子我还
当要发送的请求是多部分请求时，Spring CSRF 令牌不起作用

I use Spring 框架 4 0 0 发布 GA Spring Security 3 2 0 发布正式版支柱 2 3 16 其中我使用内置的安全令牌来防范 CSRF 攻击 Struts 表单如下所示

当要发送的请求是多部分请求时，Spring CSRF 令牌不起作用

当要发送的请求是多部分请求时，Spring CSRF 令牌不起作用 的相关文章

随机推荐

热门标签

当要发送的请求是多部分请求时，Spring CSRF 令牌不起作用的相关文章