CSRF - 仅在第一次登录
CSRF - logs in only the first time
当我在服务器上部署我的应用程序时,我第一次可以毫无问题地登录。但是当我注销时,我在注销 post 请求中收到“403 Forbidden”。然后我无法成功登录,因为我在登录请求中收到 403 错误。
Ctrl+F5,尝试再次登录,然后......它有效,但只有一次。
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/apps", "/sites", "/users").authenticated()
.and()
.csrf()
.csrfTokenRepository(csrfTokenRepository())
.and()
.addFilterAfter(new CsrfHeaderFilter(), CsrfFilter.class);
}
private CsrfTokenRepository csrfTokenRepository() {
HttpSessionCsrfTokenRepository repository = new HttpSessionCsrfTokenRepository();
repository.setHeaderName("X-XSRF-TOKEN");
return repository;
}
和 CsrfHeaderFilter class:
public class CsrfHeaderFilter extends OncePerRequestFilter {
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
CsrfToken token = (CsrfToken) request.getAttribute(CsrfToken.class
.getName());
response.setHeader("X-CSRF-HEADER", token.getHeaderName());
response.setHeader("X-CSRF-PARAM", token.getParameterName());
response.setHeader("X-XSRF-TOKEN", token.getToken());
if (token != null) {
Cookie cookie = WebUtils.getCookie(request, "X-XSRF-TOKEN");
if (cookie == null || token != null && !token.equals(cookie.getValue())) {
cookie = new Cookie("X-XSRF-TOKEN", token.getToken());
cookie.setPath("/");
response.addCookie(cookie);
}
}
filterChain.doFilter(request, response);
}
并在 Angular 中:
$httpProvider.defaults.xsrfHeaderName = 'X-XSRF-TOKEN';
如果重要的话,我的应用程序部署在 localhost:8080/myApp。
在 login、logout 等特定事件之后,CSRF 令牌发生变化。因此,下一个 POST 请求将失败,就像您的情况一样。我遇到了同样的问题,经过一些诊断,发现在 login、logout 等之后发送另一个 GET 请求将是解决它的最佳方法。 (如果您不使用 CORS,您也可以让 login、logout 发送重定向响应)。有关详细信息,请参阅 this Whosebug post。
当我在服务器上部署我的应用程序时,我第一次可以毫无问题地登录。但是当我注销时,我在注销 post 请求中收到“403 Forbidden”。然后我无法成功登录,因为我在登录请求中收到 403 错误。 Ctrl+F5,尝试再次登录,然后......它有效,但只有一次。
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/apps", "/sites", "/users").authenticated()
.and()
.csrf()
.csrfTokenRepository(csrfTokenRepository())
.and()
.addFilterAfter(new CsrfHeaderFilter(), CsrfFilter.class);
}
private CsrfTokenRepository csrfTokenRepository() {
HttpSessionCsrfTokenRepository repository = new HttpSessionCsrfTokenRepository();
repository.setHeaderName("X-XSRF-TOKEN");
return repository;
}
和 CsrfHeaderFilter class:
public class CsrfHeaderFilter extends OncePerRequestFilter {
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
CsrfToken token = (CsrfToken) request.getAttribute(CsrfToken.class
.getName());
response.setHeader("X-CSRF-HEADER", token.getHeaderName());
response.setHeader("X-CSRF-PARAM", token.getParameterName());
response.setHeader("X-XSRF-TOKEN", token.getToken());
if (token != null) {
Cookie cookie = WebUtils.getCookie(request, "X-XSRF-TOKEN");
if (cookie == null || token != null && !token.equals(cookie.getValue())) {
cookie = new Cookie("X-XSRF-TOKEN", token.getToken());
cookie.setPath("/");
response.addCookie(cookie);
}
}
filterChain.doFilter(request, response);
}
并在 Angular 中:
$httpProvider.defaults.xsrfHeaderName = 'X-XSRF-TOKEN';
如果重要的话,我的应用程序部署在 localhost:8080/myApp。
在 login、logout 等特定事件之后,CSRF 令牌发生变化。因此,下一个 POST 请求将失败,就像您的情况一样。我遇到了同样的问题,经过一些诊断,发现在 login、logout 等之后发送另一个 GET 请求将是解决它的最佳方法。 (如果您不使用 CORS,您也可以让 login、logout 发送重定向响应)。有关详细信息,请参阅 this Whosebug post。