spring security 3.2.0 csrf 令牌在 freemarker 模板中不起作用

2024-01-12

升级到 Spring Security 3.2.0 并配置 xml 后，_csrf 令牌不起作用。

基本原理：

春季4.0.1
春季安全3.2.0。
Freemarker 模板语言

步骤1 - spring security xml配置：

<!-- enable csrf protection via csrf-element -->
<sec:http>
    <!-- -->
    <sec:csrf token-repository-ref="csrfTokenRepository" />
</sec:http>

<!-- rewrite headerName -->
<bean id="csrfTokenRepository" class="org.springframework.security.web.csrf.HttpSessionCsrfTokenRepository">
    <property name="headerName" value="X-SECURITY" />
</bean>

第 2 步 - freemarker 模板：

<form accept-charset="UTF-8" action="/portal" method="POST" name="formAddItemToCart">
    <!-- ... -->

    <!-- inlcude csrf token -->
    <input type="hidden"
           name="${_csrf.parameterName}"
           value="${_csrf.token}"/>
</form>

第 3 步 - 渲染输出：

<form accept-charset="UTF-8" action="/portal" method="POST" name="formAddItemToCart">
    <!-- ... -->

    <input type="hidden" name="" value=""/>
</form>

第 4 步 - freemarker 模板错误：

FreeMarker template error:
The following has evaluated to null or missing:
==> _csrf  [in template "cart.ftl" at line 28, column 21]

参考：http://docs.spring.io/spring-security/site/docs/3.2.0.RELEASE/reference/htmlsingle/#csrf http://docs.spring.io/spring-security/site/docs/3.2.0.RELEASE/reference/htmlsingle/#csrf

目前我正在调试整个应用程序。

我不知道问题到底出在哪里 - 但似乎 csrf 不能与 freemarker 一起使用。通常可以将 csrf 令牌包含在 freemarker 模板中吗？您有什么建议或解决方案吗？

UPDATE:

xml配置没有正确进行。我发现这个解决方案对我有很大帮助。https://github.com/spring-projects/spring-mvc-showcase/commit/361adc124c05a8187b84f25e8a57550bb7d9f8e4 https://github.com/spring-projects/spring-mvc-showcase/commit/361adc124c05a8187b84f25e8a57550bb7d9f8e4

现在我的文件如下所示：

安全性.xml

    <sec:http>
        <!-- ... -->
        <sec:csrf />
</sec:http>

<bean id="requestDataValueProcessor" class="org.springframework.security.web.servlet.support.csrf.CsrfRequestDataValueProcessor"/>

<bean id="csrfFilter" class="org.springframework.security.web.csrf.CsrfFilter">
    <constructor-arg>
        <bean class="org.springframework.security.web.csrf.HttpSessionCsrfTokenRepository">
            <property name="headerName" value="X-SECURITY" />
        </bean>
    </constructor-arg>
</bean>

web.xml

 <filter>
    <filter-name>csrfFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    <async-supported>true</async-supported>
</filter>

<filter-mapping>
    <filter-name>csrfFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

SpringSecurity

CSRF

freemarker

spring security 3.2.0 csrf 令牌在 freemarker 模板中不起作用的相关文章

将自定义 SecurityExpressionOperations 中的方法注册为 Spring SpEL 函数

我有以下实现MethodSecurityExpressionOperations public class CustomMethodSecurityExpressionRoot extends SecurityExpressionRoot
Spring security 已登录用户的重定向问题

在使用我的基于 GWT 的 Web 应用程序实现 Spring Security 时我找到一切都按预期正常工作除了以下事实我打开了 login jsp 并给出了有效的用户登录凭据提交后成功重定向到主页现在当我在地址栏中编辑
为什么 Spring 的 BCryptPasswordEncoder 为相同的输入生成不同的输出？

我在用BCrypt密码编码器 https docs spring io spring security site docs current api org springframework security crypto bcrypt BCr
Spring Security 与 AcceptHeaderLocaleResolver 和 i18n

我陷入困境可能错过了文档中的某些内容或犯了一些小错误 Spring Security 3 0 5 已集成到我的 Spring MVC 3 0 5 应用程序中 AcceptHeaderLocaleResolver用于区域设置检测除了安全错
AntiForgery.GetTokens：oldCookieToken 参数的用途是什么？

我们正在使用 Objective C 编写一个 iOS 移动应用程序用于向我们的 ASP NET MVC 服务器应用程序发送帖子在 iPhone 上 HTTP 堆栈和 cookie 等似乎与 Safari 共享这使我们容易受到 X
抛出自定义异常并显示来自自定义 AuthenticationProvider 的错误消息

这是后续这个问题 https stackoverflow com questions 6412591 hooking into pre authentication with spring security core 我有一个扩展 Abst
正则表达式与 antMatcher URL 模式不匹配

我试图忽略身份验证中的 url 我尝试了多种不同的模式但 java 似乎无法识别它们我的配置如下所示 Override public void configure WebSecurity web throws Exception sup
基于 XML 的 Spring Security 配置中的 use-expresss 属性与基于代码的配置等效

如何启用use expressions基于代码的配置中 Spring Security 配置的选项需要此选项才能启用基于表达式的访问控制 http docs spring io spring security site docs 3 2
Angular 6 不向 http 请求添加 X-XSRF-TOKEN 标头

我读了the docs https angular io guide http security xsrf protection以及有关 SO 的所有相关问题但 Angular CSRF 机制仍然对我不起作用我无论如何都无法发出自动附加
Spring security 有 SimpleGrantedAuthority 但 hasRole 不起作用

我有以下代码 private static Collection
Spring-如何保护RESTful私有资源？

我有一些 RESTful 服务使用 Spring MVC 实现公开一组资源我已经使用基于 HTTPBasicAuthentication 和 HTTPS 的身份验证某些资源必须只能由某些用户访问例如我希望 URI 中的所有子资源
Grails Spring 安全角色和组

我已经配置了我的 spring security 来与组一起工作我使用此脚本来创建域类 grails s2 quickstart com yourapp User Role groupClassName RoleGroup 我假设一个用户
使用 Spring Security 和 CAS 单点注销

使用纯 Spring Java 配置我在让 Spring 和 CAS 执行单点登录时遇到问题我使用以下配置进行单点登录我使用一个简单的 JSP 页面对 url 进行表单 POSThttps nginx shane com app lo
Spring Boot 安全 - Thymeleaf sec：授权不起作用

我正在尝试使用 Spring Boot Spring Security 4 Thymeleaf 如果用户具有 admin 角色或其他角色应该显示 html 块但现在它始终显示在页面上这是我的html div p class bg in
Spring SAML 扩展和 Spring Security CSRF 保护冲突

我们有一个带有 Spring Security 3 2 4 的 Spring MVC 4 0 5 应用程序其中包括运行良好的 CSRF 保护我们现在添加 SAML 安全扩展 spring security saml2 core 1 0
错误 401 - 浏览器中的 Spring Boot 执行器登录名/密码

我将 Spring Boot 与执行器一起使用并添加安全配置 management port 8088 management address 127 0 0 1 management security enabled true secur
重定向到无状态会话的原始 URL

我正在尝试创建无状态安全性其中 JWT 令牌存储在 Cookie 而不是 SESSION 中问题是如果没有会话SavedRequestAwareAuthenticationSuccessHandler不知道原始请求在弹出身份验证页面之
Spring Security 实体字段级安全

我有一个 Spring MVC 应用程序它提供了一个视图其中显示了来自Customer实体例如姓名地址电话号码等该应用程序具有各种角色例如ROLE USER and ROLE ADMIN 用户具有ROLE USER只能看到客户
尝试在 Spring MVC 中使用 OAuth 保护资源

我们已经在 Spring MVC 上使用 Java 编写了 REST Web 服务我一直在努力保护它们 OAuth 服务器在另一个网站中实现该网站处理登录和访问令牌的创建因此在允许用户访问网络服务之前我需要验证访问令牌是否正确然
isAuthenticated 和 isFullyAuthenticated 之间的区别

我正在尝试学习 Spring Security 我有一个问题 spring security中isAuthenticated和isFullyAuthenticated有什么区别来自 spring security 文档 isAuthent

随机推荐

PHP 中的 INET_ATON() 和 INET_NTOA()？

我想将 IP 地址存储在数据库中但我还需要在整个应用程序中使用它们我读到关于使用INET ATON and INET NTOA 在我的 MySQL 查询中从 IP 地址中获取 32 位无符号整数这正是我想要的因为它将比使用 cha
每月累计总数和 Postgresql

我正在尝试计算 dellstore2 数据库的累计用户数看看这里的答案和其他论坛我用了这个 select date trunc month orderdate sum count distinct customerid over ord
无法插入断点。低值地址

我正在尝试调试这个简单的 C 程序 include
Facebook Javascript，如何检测用户是否是我的 Facebook 页面的粉丝？在我的网站上？

我有以下 JS 代码该代码的目的是首先获取用户的 facebook id 然后使用 FQL 对照我的页面 ID 检查该 id 并确保该用户是粉丝我遇到的问题是代码真正起作用的唯一时间是我使用自己的个人 Facebook 个人资料登录时
具有给定厚度、位置和半径的拉环。 (Java2D)

我需要画一个具有给定厚度的环看起来像这样中心必须是透明的这样它就不会覆盖之前绘制的形状或其他戒指我尝试过这样的事情 g is a Graphics2D object g setColor Color RED g drawOval
验证来自 Spring RESTful 资源服务器的 OAuth 2.0 访问令牌

我想保护我的 Spring RESTful 后端一种方法正确的是使用 OAuth 2 0 如下所示 http www youtube com watch v 8uBcpsIEz2I http www youtube com watch
Android 中按钮的单击和双击

在我的应用程序中我有一个按钮单击和双击按钮后将执行单独的操作我怎样才能做到这一点谢谢嗯很简单只需覆盖即可 OnClickListener 的 onClick 方法 public abstract class DoubleCli
使用 Android Jetpack 导航时如何禁用导航图标

当您向导航架构注册工具栏时它将创建一个箭头允许您在您所在的片段上弹出在一些基本级别的片段上我不想有汉堡菜单图标或箭头而是自定义视图对象如何从视图中禁用后退按钮我尝试过手动禁用但很难找到如何使用导航拱门来管理它 val sup
如何访问控制台应用程序中的资源？

我如何获得访问权限 Properties Resources在控制台应用程序中这是为了使用解决方案附加的资源文件 Here s exactly what I can see 第一个语法错误不是我关心的只能使用赋值调用自增自减和新对
JavaScriptSerializer 可以排除具有 null/默认值的属性吗？

我正在使用 JavaScriptSerializer 来序列化一些实体对象问题是许多公共属性包含 null 或默认值有没有办法让 JavaScriptSerializer 排除具有 null 或默认值的属性我希望生成的 JSON 不
如何使用 sqlite 在 pytest 中启用外键检查

我有一个 django 项目其中的测试在我调用时运行py test 但我最近注意到它不检查外键约束我怎样才能让它检查外键约束显然外键约束直到 sqlite 3 才成为可能 https sqlite org foreignkeys h
如何在 OpenGL (ES) 中将非 2 幂纹理显示为精灵而不进行拉伸？

我想绘制一个任意大小的精灵作为 png 比如说 56 宽 x 30 高之类的完全疯狂的东西任一维度都不是 2 的幂另外我可能想绘制另一个 72 宽 x 33 高的不同精灵指出这一点是因为这里不接受任何技巧我需要处理一般情况所以
实体框架 6：找不到服务器或无法访问服务器

我正在跟进本教程 https msdn microsoft com en us data jj193542 aspx 我正在尝试在 C 控制台应用程序中创建 EF 数据库但是即使我完全按照教程中的方式执行所有操作它也会失败 db B
如何将txt文件中的图像像素转换为十六进制颜色代码？

如何只保留突出显示的部分运行它awk在行号大于 1 的每一行打印第三个字段 awk NR gt 1 print 3 YourFile 574E3E 2E67FD 40A254
如何从固定装置远程加载数据

使用 GAE 上的 Django nonrel 部署后如何将固定装置加载到服务器我可以通过本地化来完成 python manage py loaddata 夹具名称但如何在 appspot com 上已部署的应用程序上执行此操作我相信
如何清理 Rails 中的 sql 片段

我必须清理 SQL 查询的一部分我可以做这样的事情 class lt lt ActiveRecord Base public sanitize sql end str ActiveRecord Base sanitize sql AND
在 Mathematica 中操作自定义表格表示

考虑以下数据示例 data a b c d e 1 2 3 4 5 11 12 13 14 15 21 22 23 24 25 以及以下函数来生成自定义表格表示并且您可以参考Mr Wizard 用于可定制表格表示的广泛解决方案 https
Pandas Dataframe 或 C#.NET 中的类似数据框

我目前正在致力于实现早期用 Python 构建的 Gurobi 线性程序模型的 C 版本我有许多 CSV 文件我从中导入数据并创建 pandas 数据帧并且从这些数据帧中获取列以创建我在线性程序中使用的变量使用数据帧创建变量的Pyt
python中打开的文件描述符

当我在 IPython3 shell 中使用这段代码时 gt gt gt data open file read 然后检查打开的文件描述符 lsof grep file 我发现空列表当我使用这个时 gt gt gt open file l
spring security 3.2.0 csrf 令牌在 freemarker 模板中不起作用

升级到 Spring Security 3 2 0 并配置 xml 后 csrf 令牌不起作用基本原理春季4 0 1 春季安全3 2 0 Freemarker 模板语言步骤1 spring security xml配置

spring security 3.2.0 csrf 令牌在 freemarker 模板中不起作用

spring security 3.2.0 csrf 令牌在 freemarker 模板中不起作用 的相关文章

随机推荐

热门标签

spring security 3.2.0 csrf 令牌在 freemarker 模板中不起作用的相关文章