Spring security中每个请求不同的csrf令牌

2024-03-10

我在用<csrf/>我的 web 项目的 spring security xml 文件中的标记。并以以下形式发送 csrf 令牌：

<form action="" method="post">
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
</form>

但是在通过 BurpSuite 拦截请求时，我在每个请求上都获得相同的 csrf 令牌，直到会话持续存在。

有什么方法可以在 Spring Security 中为每个请求发送与每个会话不同的 csrf 令牌。

我正在使用 3.2.4 spring 安全 jar。

CSRF 令牌的默认持续时间是会话持续时间。 CSRF 令牌存储在 HTTP 会话中，因此是根据每个会话生成的。查看关于 CSRF 的 Spring Security 文档 http://docs.spring.io/spring-security/site/docs/3.2.5.RELEASE/reference/htmlsingle/#csrf-timeouts更多细节。

Spring Security 可以扩展以满足个人需求，因此它可以根据您的目的进行扩展。

但是，此扩展会影响可用性：

在第二个选项卡中打开 Web 应用程序将导致一个或两个选项卡中的会话中断。
提交表单上的“后退”按钮可能会导致一些奇怪的错误。

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Java

Spring

SpringSecurity

CSRF

csrfprotection

Spring security中每个请求不同的csrf令牌的相关文章

如何从秘密字符串中制作 HMAC_SHA256 密钥以在 jose4j 中与 JWT 一起使用？

我想生成 JWT 并使用 HMAC SHA256 对其进行签名对于该任务我必须使用jose4j https bitbucket org b c jose4j wiki Home 我尝试根据秘密生成密钥 SecretKeySpec key
Spring安全“记住我”cookie在第一个请求中不可用

我无法在登录请求后检索 Spring 记住我 cookie 但它在对受保护页面的下一个请求中工作正常谁能告诉我怎样才能立即得到它我在登录请求中设置了记住我的 cookie 但在 Spring 重定向回原始受保护的 url 后无法检索它
Keycloak - 如何获取某个领域的所有用户并将其保存到应用程序数据库？

我正在使用 Spring Boot 构建 REST API 并使用 Keycloak 进行身份验证和授权由于用户是由Keycloak管理的所以我的应用程序数据库没有用户的数据但我想将 Keycloak 中的用户实体的一些属性存储在我的
使用 RecyclerView 适配器在运行时更改布局屏幕

我有两个布局文件如下所示如果列表中存在数据则我显示此布局当列表为空时我会显示此布局现在我想在运行时更改布局当用户从列表中删除最后一项时我想将布局更改为第二张图片中显示的空购物车布局 In getItemCount Recy
如果使用的 JVM 是 x86 或 x64，则以不同的方式解决 Maven 依赖关系？

我设置了一个 Maven 存储库来托管一些 dll 但我需要我的 Maven 项目根据使用的 JVM 是 x86 还是 x64 下载不同的 dll 例如在运行 x86 版本 JVM 的计算机上我需要从存储库下载 ABC dll 作为依赖
内存一致性 - Java 中的happens-before关系[重复]

这个问题在这里已经有答案了在阅读有关内存一致性错误的 Java 文档时我发现与创建发生之前关系的两个操作相关的点当语句调用时Thread start 每个具有与该语句发生之前的关系也有一个与 new 执行的每个语句之间发生的
具有共享依赖项的多模块项目的 Gradle 配置

使用 gradle 制作第一个项目所以我研究了 spring gradle hibernate 项目如何组织 gradle 文件并开始制作自己的项目但是找不到错误为什么我的配置不起作用子项目无法解决依赖关系所以项目树 Root
用于从字段中查找最大值的 MongoTemplate 方法或查询

我正在使用 MongoTemplate 进行数据库操作现在我想从所选结果中获取最大字段值有人可以指导我如何编写查询以便当我将查询传递给 find 方法时它将返回我所需的文档最大字段提前致谢问候可以在spring data mo
将表值参数与 SQL Server JDBC 结合使用

任何人都可以提供一些有关如何将表值参数 TVP 与 SQL Server JDBC 一起使用的指导吗我使用的是微软提供的6 0版本的SQL Server驱动程序我已经查看了官方文档 https msdn microsoft com en
隐式超级构造函数 Person() 未定义。必须显式调用另一个构造函数？

我正在开发一个项目但收到错误隐式超级构造函数 Person 未定义必须显式调用另一个构造函数我不太明白它这是我的人物课程 public class Person public Person String name double D
列表应该如何转换为具体的实现？

假设我正在使用一个我不知道源代码的库它有一个返回列表的方法如下所示 public List
Java 数组的最大维数

出于好奇在 Java 中数组可以有多少维爪哇language不限制维数但是JavaVM规范将维度数限制为 255 例如以下代码将无法编译 class Main public static void main String args
如何将使用消息侦听器接收到的 JMS 消息转换为域对象

我在用春季3 1 1 ActiveMQ 5 6 0 我有两个 JMS 应用程序应用程序 A 使用 JmsTemplate 使用 jmsTemplate convertAndSend msg 发送域对象 App B 使用消息监听器并注册了
Java - 返回值是否会中断循环？

我正在编写一些基本上遵循以下格式的代码 public static boolean isIncluded E element Node
Cloudfoundry：如何组合两个运行时

cloundfoundry 有没有办法结合两个运行时环境我正在将 NodeJS 应用程序部署到 IBM Bluemix 现在我还希望能够执行独立的 jar 文件但应用程序失败 APP 0 bin sh 1 java not found
如何配置 WebService 返回 ArrayList 而不是 Array？

我有一个在 jax ws 上实现的 java Web 服务此 Web 服务返回用户的通用列表它运行得很好 Stateless name AdminToolSessionEJB RemoteBinding jndiBinding Admi
Espresso 和 Proguard 的 Java.lang.NoClassDefFoundError

我对 Espresso 不太有经验但我终于成功地运行了它我有一个应用程序需要通过 Proguard 缩小才能处于 56K 方法之下该应用程序以 3 秒的动画开始因此我需要等到该动画结束才能继续这就是我尝试用该方法做的事情waitF
尝试使用等于“是”或“否”的字符串变量重新启动 do-while 循环

计算行程距离的非常简单的程序一周前刚刚开始我有这个循环用于解决真或假问题但我希望它适用于简单的是或否我为此分配的字符串是答案 public class Main public static void main String a
如何在Java中正确删除数组[重复]

这个问题在这里已经有答案了我刚接触 Java 4 天从我搜索过的教程来看讲师们花费了大量精力来解释如何分配二维数组例如如下所示 Foo fooArray new Foo 2 3 但我还没有找到任何解释如何删除它们的信息从内存的情
Hibernate 和可序列化实体

有谁知道是否有一个框架能够从实体类中剥离 Hibernate 集合以使它们可序列化我查看了 BeanLib 但它似乎只进行实体的深层复制而不允许我为实体类中的集合类型指定实现映射 BeanLib 目前不适用于 Hibernate 3 5

随机推荐

“运行方式 -> Android 应用程序”不再是我的 Eclipse 运行配置中的选项

我在 Win7 机器上运行 Eclipse 3 7 2 我有 Android SDK 和 AVD 一切都运转良好我有一个 Android 应用程序项目已在 AVD 和真实 Android 设备上的模拟器下运行亚行也运作良好在某个时候
Jetpack 编写代码以在单击文本时向下滚动到特定 UI 元素的位置

我试图在单击文本时向下滚动到特定 UI 元素的位置我的文本的代码是 Text What is autosaving color colorResource id R color text highlight fontSize with L
如何在android较低版本的设备上用javascript和html实现onclick？

我正在开发一个在更高版本的设备中完美运行的项目我已经在 4 1 2 版本中检查过它问题是它不适用于 Android 版本 2 2 1 和 2 3 5 的设备我有六张图像我添加了功能 2 个图像的功能是使用 id 值调用不同的 HTM
在 Visual Studio 2012 中，法语键盘上的向后导航快捷键是什么？

自从我想知道如何使用 Visual Studio 中的向后和向前导航以来已经有一段时间了法语 fr FR 键盘将鼠标悬停在按钮上看起来像这样 Navigate backward Ctrl Navigate forward Ctrl Sh
Angular 6 私有方法

我们正在从 Angular 5 升级到 Angular 6 我们有一个共享库但遇到了构建错误作为一家 Java 商店我们养成了将组件方法和属性标记为私有的习惯在 Angular 6 中构建我们的库时转换并使用新的库 CLI 功能后
C 联合一开始就没有填充吗？

C99 标准中是否保证联合只会像结构一样在末尾进行填充与此相关的是联盟的地址是否始终等于其任何可能成员的地址是的正如您所注意到的结构从来没有前导填充联合的地址始终引用联合的任何组件的第一个元素具有适当的强制转换因此联合的开头
如何让jsoup等待完整页面（跳过进度页面）加载？ [复制]

这个问题在这里已经有答案了我正在尝试使用 Jsoup 解析网页并提取数据但该链接是动态的在显示详细信息之前会弹出一个等待加载的页面所以Jsoup似乎处理的是等待页面而不是详情页面有没有办法让这个等到页面完全加载如果页面加载后动态
通过有条件地包含 Facelet 文件

我有 2 个 Facelets 文件 index xhtml 和 report xhtml 我用的是RichFaces
如何在 Google Colab 中的 R jupyter 笔记本上安装 Google Drive 文件夹？

有没有办法从 Google Colab 中的 R jupyter 笔记本访问 Google Drive 文件我正在寻找等效的 R 包或代码如下所示 from google colab import drive drive mount c
在 Ubuntu 14.04 LTS 中单击新工作区或创建新项目后 Codelite 崩溃

我使用的是 Ubuntu 14 04 LTS 尽管我对 Linux 并不是完全陌生 I m在 Linux 上使用 Codelite 的完全新手我已经在 Windows 上安装了 Codelite 并运行没有任何问题然而它在 Ubun
通过连接字符串连接到远程数据库

我正在尝试让我的程序从连接在同一 LAN 网络内联网中的另一台计算机读取访问数据库这是我正在使用的代码 namespace CalUnderFoot public partial class Window1 Window CarsDB
Angular mat-selection-list，如何使单个复选框选择类似于单选按钮？

如何使单个复选框选择mat selection list 类似于单选按钮它接受一组值中的一个值组件 gt 9 1 0 选择列表现在直接支持单选模式将多个输入设置为 false 来启用它
如何取消 NSBlockOperation

我有一个很长的运行循环我想在后台运行NSOperation 我想使用一个块 NSBlockOperation operation NSBlockOperation blockOperationWithBlock while not can
Swift 中处理窗口关闭事件

如何使用swift处理窗口的关闭事件例如询问您确定要关闭表单吗如果是则该表格将关闭如果否该表格将不关闭显示消息框对我来说不是问题 viewWillDisappear 也适用于最小化但我只需要关闭事件 Thanks 就像上
为什么 Laravel Redis::scan('*') 返回预期的键，但 Redis::keys('*') 没有返回？

Problem 我使用 Python 代码向 redis 添加了一个值当我尝试查询时使用 Laravel Redis get key name 它返回null Redis keys 返回使用 Laravel 但不使用 Python 创建的
limitTo 在 AngularJs 的 ng-repeat 中不起作用

我正在为某些应用程序编写一些代码我想限制聊天中的消息 this limitM 10 scope msgsCount contains the number of messages
将复杂类型作为数据传递给 jquery ajax post

我的数据模型类如下所示 DataContract public class Order DataMember public string Id get set DataMember public string AdditionalInstr
CF 标志的行为难以理解

假设有一段代码 mov al 12 mov bl 4 sub al bl 在这种情况下 CF 0 标志但在我看来它应该等于 1 因为减法运算是在加法运算上实现的并且处理器不知道我们将其作为输入提供什么无论是有符号还是无符号数字它只是
如何告诉窗体在关闭时不要释放特定控件？

我想为我的子类表单对象编写一个函数该函数必须关闭窗体并返回该窗体上的控件以便我可以将其放在另一个窗体上我无法阻止控件被处置我认为使用 this Controls Remove someControl 从控件集合中删除它足以阻止它处置
Spring security中每个请求不同的csrf令牌

我在用

Spring security中每个请求不同的csrf令牌

Spring security中每个请求不同的csrf令牌 的相关文章

随机推荐

热门标签

Spring security中每个请求不同的csrf令牌的相关文章