Konnte nicht überprüfen, die zur Verfügung gestellt CSRF-token, weil die Sitzung wurde nicht gefunden in spring security
Bin ich mit spring security zusammen mit java-config
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/api/*").hasRole("ADMIN")
.and()
.addFilterAfter(new CsrfTokenResponseHeaderBindingFilter(), CsrfFilter.class)
.exceptionHandling()
.authenticationEntryPoint(restAuthenticationEntryPoint)
.and()
.formLogin()
.successHandler(authenticationSuccessHandler)
.failureHandler(new SimpleUrlAuthenticationFailureHandler());
Bin ich mit dem Postboten für den Test meinen REST-services. Ich bekomme 'csrf-token erfolgreich und ich bin in der Lage, loggen Sie sich mit X-CSRF-TOKEN
im request-header. Aber nach dem login, wenn ich Treffer-post-request(ich bin auch gleichen token im Anfrage-header, den ich für den login-post-request) bekomme ich folgende Fehlermeldung:
HTTP-Status 403 - Konnte nicht überprüfen, die zur Verfügung gestellt CSRF-token, weil die Sitzung wurde nicht gefunden.
Kann jeder ein Führer mir, was ich falsch mache.
InformationsquelleAutor der Frage Haseeb Wali | 2016-06-24
Du musst angemeldet sein, um einen Kommentar abzugeben.
Nach Frühling.io:
So zu deaktivieren:
Hinweis: CSRF-Schutz standardmäßig aktiviert ist mit Java Konfiguration
InformationsquelleAutor der Antwort Dan
Deaktivieren der CSRF-Schutz ist eine schlechte Idee.
Frühjahr, wird automatisch eine neue CSRF-token nach jeder Anfrage, und Sie müssen es in alle HTTP-Anfragen mit Nebenwirkungen (PUT, POST, PATCH, DELETE).
In Postman können Sie einen test in jedem request zum speichern der CSRF-token in einer globalen, z.B. bei der Verwendung von
CookieCsrfTokenRepository
Und dann zählen Sie es als eine Kopfzeile mit den wichtigsten
X-XSRF-TOKEN
und Wert{{xsrf-token}}
.InformationsquelleAutor der Antwort Dario Seidl
versuchen Sie dies:
@Override protected boolean sameOriginDisabled() { return true;}
Quelle: WebSocket-Sicherheit: Deaktivieren der CSRF innerhalb von WebSockets
InformationsquelleAutor der Antwort GuoJunjun
Ich habe es gelöst, indem die Letzte Attribut in meiner login-Seite,vielleicht es tun yo einen gefallen.
InformationsquelleAutor der Antwort kungyu