CSRF - 仅在第一次登录

2024-03-20

当我在服务器上部署我的应用程序时，第一次我可以毫无问题地登录。但是当我注销时，我在注销发布请求中收到“403 Forbidden”。然后我无法成功登录，因为我在登录请求上收到 403 错误。 Ctrl+F5，尝试再次登录......它可以工作，但只能一次。

    @Override
    protected void configure(HttpSecurity http) throws Exception {
http
                .authorizeRequests()
                .antMatchers("/apps", "/sites", "/users").authenticated()
                .and()
                .csrf()
                .csrfTokenRepository(csrfTokenRepository())
                .and()
                .addFilterAfter(new CsrfHeaderFilter(), CsrfFilter.class);
}
private CsrfTokenRepository csrfTokenRepository() {
    HttpSessionCsrfTokenRepository repository = new HttpSessionCsrfTokenRepository();
    repository.setHeaderName("X-XSRF-TOKEN");
    return repository;
}

和 CsrfHeaderFilter 类：

public class CsrfHeaderFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        CsrfToken token = (CsrfToken) request.getAttribute(CsrfToken.class
                .getName());
        response.setHeader("X-CSRF-HEADER", token.getHeaderName());

        response.setHeader("X-CSRF-PARAM", token.getParameterName());

        response.setHeader("X-XSRF-TOKEN", token.getToken());

        if (token != null) {
            Cookie cookie = WebUtils.getCookie(request, "X-XSRF-TOKEN");
            if (cookie == null || token != null && !token.equals(cookie.getValue())) {
                cookie = new Cookie("X-XSRF-TOKEN", token.getToken());
                cookie.setPath("/");
                response.addCookie(cookie);
            }
        }
        filterChain.doFilter(request, response);
    }

和角度：

$httpProvider.defaults.xsrfHeaderName = 'X-XSRF-TOKEN';

如果重要的话，我的应用程序部署在 localhost:8080/myApp 上。

在某些事件之后，例如login, logout，CSRF 令牌发生变化。因此，下一个 POST 请求将失败，就像您的情况一样。我遇到了同样的问题，经过一番诊断后，发现发送另一个 GET 请求如下login, logout等等将是解决这个问题的最好方法。（如果您没有使用 CORS，您也可以使用login, logout发送重定向响应）。看这个 stackoverflow 帖子 https://stackoverflow.com/questions/31654565/spring-single-page-application-csrf-token-changing-silently-after-login-logout更多细节。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

CSRF - 仅在第一次登录的相关文章

如果在 addHeader 之前写入正文，HttpServletResponse 会丢失标头吗？

环境 Java HotSpot TM 64 位服务器 VM 内部版本 16 3 b01 混合模式 tomcat6 当我使用HttpServlet发送html页面时如下所示 resp getWriter append body body i
查找所有数组的长度多维数组，Java

我想使用多维数组来存储数据网格但是我还没有找到一种简单的方法来查找长度2nd数组的一部分例如 boolean array new boolean 3 5 System out println array length 只会输出3 是否
Grails 项目 - Servlet 调用 - ClassNotFoundException：javax.servlet.AsyncContext

我在用 IntelliJ IDEA 终极版 12 4 grails 2 2 0 BuildConfig groovy 文件中的 grails servlet version 2 5 并实现了简单的 servlet post 请求使用 RE
卡夫卡监听器中的钩子

kafka 监听消息之前之后是否有任何类型的钩子可用使用案例必须设置MDC关联id才能进行日志溯源我在寻找什么之前之后回调方法以便可以在进入时设置 MDC 关联 ID 并最终在退出时清除 MDC 编辑后的场景我将关联 id
有没有办法让Maven自动下载快照版本？

所以我有一个项目依赖于另一个项目的快照版本依赖关系是
Eclipse 无法识别 persistence.xml 的内容

我在 eclipse 中收到以下错误 persistence xml 文件没有可识别的内容我的 persistence xml 文件在我的应用程序中工作得很好但 eclipse 一直给我这个错误我在移动文件并使用 m2eclipse
包含routeChangeSuccess的AngularJS测试控制器

我正在尝试创建单元测试来测试导航列表控制器但在创建测试时遇到问题这是控制器的代码 navListModule controller NavListCtrl scope NavList function scope NavList sco
在 libgdx 中渲染 box2d

我有一个使用 FitViewport 的大小为 800x480 的游戏世界并且最初使用像素渲染 box2d 实体固定装置因此所有物理效果都显得浮动且缓慢查看文档后我意识到 box2d 使用度量单位因此我将 box2d 位置和大小
Thymeleaf 下拉菜单中的默认值

我正在使用 Spring MVC 和 thymeleaf 构建一个 Web 应用程序我的下拉菜单是这样的并且它按预期工作
在 java 8 下使用泛型出现类型错误，但在 java 7 下则不然

我有一段代码可以在 java 7 下编译良好但不能在 java 8 下编译这是一个独立的重现示例我已经采用了显示此问题的真实代码并删除了所有实现 import java util Iterator class ASTNode
不使用 length() 方法的字符串长度[关闭]

Closed 这个问题需要细节或清晰度 help closed questions 目前不接受答案如何在不使用字符串的情况下找到字符串的长度length String类的方法 str toCharArray length应该管用或者怎么
Log4j 2.0 中发现 ClassNotFoundException

我已经设置了 log4j12 api beta2 jar 的构建路径但它给出了以下错误请帮我解决这个问题我的代码如下 java 文件 package com sst log4j class Product private int pro
IntelliJ - 无效源版本：17

我已经在 IntelliJ 中使用 Gradle 创建了一个使用 Java 17 的新 Java 项目运行我的应用程序时出现错误Cause error invalid source release 17 我的设置我已经安装了openjd
Java DNSLookup MX 记录列表。类似于 MXToolBox

我正在构建一个程序来列出域的所有 MX 记录起初似乎工作正常但与在线工具进行比较后http mxtoolbox com http mxtoolbox com 有些域程序无法获取 MX 记录而 MXToolbox 可以我不确定原因是什
Web 服务客户端的 AXIS 与 JAX-WS

我决定用Java 实现Web 服务客户端我已经在 Eclipse 中生成了 Axis 客户端并使用 wsimport 生成了 JAS WS 客户端两种解决方案都有效现在我必须选择一种来继续在选择其中之一之前我应该考虑什么 JAX
没有运算符与给定名称和参数类型匹配。您可能需要添加显式类型转换。 -- Netbeans、Postgresql 8.4 和 Glassfish

我正在尝试使用 EclipseLink 在 Glassfish 中使用 JPA 编辑 Postgresql 中的表当我插入一个实体时它运行良好但是当我尝试编辑或删除同一实体时它失败并出现以下错误任何想法 Caused by Ex
Android Webview：无法调用确定的可见性（） - 从未见过 pid 的连接

我有一个 Android Webview 当我单击链接下载文件 pdf 图像等时我收到一条错误消息 Error message Cannot call determinedVisibility never saw a connectio
Volley 在第一次调用方法时返回 null

我正在尝试使用 volley 从服务器检索数据但是当我第一次调用此方法时我收到服务器的响应但该方法返回 null 如果我第二次调用它我会得到最后的响应 public String retrieveDataFromServer Str
将其元素添加到另一个列表后清除列表

我正在做一个程序它获取更多句子作为参数我制作了 2 个列表一个称为 propozitie 其中包含每个句子另一个称为 propozitii 其中包含所有句子问题是当我在遇到后清除 propozitie 列表时它也会清除 pr
removeall 和removeif 的用例

我找到了这个 fun main val list MutableList

随机推荐

hibernate使用注释或使用hibernate配置文件

我看过很多使用注释基本上是hibernate注释或JPA注释来实现hibernate的教程有教程主要关注使用hibernate配置文件 hbm xml文件根本没有使用注释现在我有点困惑哪种方法更好我绝对更喜欢使用注释来定义我的
sinon 存根 withArgs 可以匹配部分参数但不是全部参数

我有一个正在存根的函数该函数会使用多个参数进行调用我想检查一下只是第一个参数其余的都是回调函数所以我不想管它们因此我可能有以下 2 个调用以 ajax 为例 method get sinon stub method get 2
Groovy HTTPBuilder：从 GZIPed 分块响应中获取实体内容

我需要向 Web 服务器发送 POST 请求并能够读取该服务器发送的响应我尝试使用 HTTPBuilder lib 和以下代码 def http new HTTPBuilder http myServer http setProxy P
更改 Laravel 5.2 中的登录/注册 URL

我目前正在编写一个应用程序该应用程序仅包含公司员工的帐户而不包含常规网站访问者的帐户因此我想将与网站管理区域相关的 URL 保留在 admin URL 下这意味着更改 login to admin login and regi
获取一个 url 参数的数组

我想获取 url param id 但它不起作用这里每个人都可以帮助我吗下面的代码不起作用 Url http localhost 9000 rest alerts ids 123 ids 456 路由配置文件 GET restws al
Excel-VBA：需要变量声明吗？

如果写下面的代码会不会出错 Sub Something Dim i As integer Dim xRange As Range Dim yRange As Range Set xRange Range x table Set yRange
控制 R 散点图中点的大小？

在 R 中 plot 函数需要一个pch控制图中点的外观的参数我正在制作具有数万个点的散点图并且更喜欢一个小但不是太小的点基本上我发现pch 太小了但是pch 19太胖了中间有什么东西或者有什么方法可以以某种方式缩小这些点吗 A
自定义 ASP.NET 身份

我正在使用 Identity Server 4 并且已自定义 ASP NET Identity 用户如下所示 public class ApplicationUser IdentityUser MaxLength 100 public v
Java 默认版本在 PATH 更改后不反映

我当前正在 Java 1 7 0 17 64 位版本上运行我想使用 Java 32 位版本启动一个应用程序我更新了 PATH 变量以指向 C Program Files x86 Java jre7 bin Java 32 位版本然后做
如何在不设置内置错误的情况下触发 mat-date-range-input 的 mat-form-field 中 mat-error 的显示？

根据问题我有一个日期范围选择器start and end日期作为mat form field 我想执行自定义验证例如确保之间的绝对差异start and end不超过 15 天并显示mat error在的里面mat form fi
Groovy - 如何延迟 Groovlet 修改重新编译检查

我是 Groovy 的新手我正在考虑使用 Groovlets 不是 GRAILS 来替换一些 Servlet 如果我更改 Groovlet 的脚本文件 Groovlet 会重新编译并自动获取更改包括从 Groovlet 引用的脚本这对
具有离散值的圆形 SeekBar

我正在尝试创建一个具有离散非线性值的圆形搜索栏我还希望这些值出现在圆圈之外我从 GitHub 上查看了多个版本其中最有希望的是JesusM https github com JesusM HoloCircleSeekBar但是我想不
Emacs 是否可以运行位于远程服务器上的 Matlab shell？

我希望能够使用 Matlab 模式 matlab el 来运行 matlab shell 唯一的问题是 Matlab 位于远程主机上这可能吗如果是这样请解释一下我现在正在和流浪汉玩但没有成功 Thanks 我刚刚尝试通过 ssh
Task.Factory.StartNew 与 Task.Factory.FromAsync

假设我们有一个 I O 绑定方法例如进行数据库调用的方法该方法可以同步和异步运行那是 Sync IOMethod Async BeginIOMethod EndIOMethod 那么当我们以如下所示的不同方式执行该方法时在资源利用率
非平凡可复制类型的 C++ 值表示

C 标准的当前草案 2019 年 3 月有以下段落 basic types p 4 强调我的 T 类型对象的对象表示是 T 类型对象占用的 N 个 unsigned char 对象的序列其中 N 等于 sizeof T T 类型对象的值
在 JavaScript 块上使用 HTML 注释仍然有意义吗？

过去人们习惯将 HTML 注释标签包裹在 JavaScript 块周围以防止旧浏览器显示脚本即使 Lynx 足够聪明可以忽略 JavaScript 那么为什么有些人仍然这样做呢这些天有什么正当理由吗编辑我确实遇到过一种情况
检查是否可以安全地评估符号

我有一根绳子x 我觉得x是某个类型的子类型的字符串表示形式Number 例如 x可能会取值 Float64 我可以使用以下方法检查这一点 eval parse x lt Number 然而有可能x包含一些危险的东西比如一些变体 rm s
textFieldDidBeginEditing：没有被调用

我从下面得到了代码this https stackoverflow com questions 1247113 iphone keyboard covers uitextfield所以问题当我开始编辑时我试图向上滑动文本字段因为否则它
MySQL INT 含义

我想知道如果我采用值为 8 的 INT 这是否意味着我只能从 1 到 99999999 或从 1 到 4294967295 UNSIGNED 该文档似乎对此非常清楚数字类型属性 MySQL 支持选择性指定显示的扩展基关键字后面的括号中的
CSRF - 仅在第一次登录

当我在服务器上部署我的应用程序时第一次我可以毫无问题地登录但是当我注销时我在注销发布请求中收到 403 Forbidden 然后我无法成功登录因为我在登录请求上收到 403 错误 Ctrl F5 尝试再次登录它可以工作但只能一次

CSRF - 仅在第一次登录

CSRF - 仅在第一次登录 的相关文章

随机推荐

热门标签

CSRF - 仅在第一次登录的相关文章