अमान्य CSRF टोकन 'null' अनुरोध पैरामीटर '_csrf' या हेडर 'X-CSRF-TOKEN' पर पाया गया था

Question 1

स्प्रिंग सुरक्षा 3.2 को कॉन्फ़िगर करने के बाद, _csrf.tokenअनुरोध या सत्र ऑब्जेक्ट के लिए बाध्य नहीं है।

यह वसंत सुरक्षा विन्यास है:

<http pattern="/login.jsp" security="none"/>

<http>
    <intercept-url pattern="/**" access="ROLE_USER"/>
    <form-login login-page="/login.jsp"
                authentication-failure-url="/login.jsp?error=1"
                default-target-url="/index.jsp"/>
    <logout/>
    <csrf />
</http>

<authentication-manager>
    <authentication-provider>
        <user-service>
            <user name="test" password="test" authorities="ROLE_USER/>
        </user-service>
    </authentication-provider>
</authentication-manager>

Login.jsp फ़ाइल

<form name="f" action="${contextPath}/j_spring_security_check" method="post" >
    <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
    <button id="ingresarButton"
            name="submit"
            type="submit"
            class="right"
            style="margin-right: 10px;">Ingresar</button>
    <span>
        <label for="usuario">Usuario :</label>
        <input type="text" name="j_username" id="u" class="" value=''/>
    </span>
    <span>
        <label for="clave">Contrase&ntilde;a :</label>

        <input type="password"
               name="j_password"
               id="p"
               class=""
               onfocus="vc_psfocus = 1;"
               value="">
    </span>
</form>

और यह अगले html को प्रस्तुत करता है:

<input type="hidden" name="" value="" />

परिणाम 403 HTTP स्थिति:

Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.

अद्यतन कुछ डीबग के बाद, अनुरोध ऑब्जेक्ट ठीक प्रपत्र DelegatingFilterProxy हो जाता है, लेकिन CoyoteAdapter की लाइन 469 में यह request.recycle () निष्पादित करता है; जो सभी विशेषताओं को मिटा देता है ...

मैं टॉमकैट 6.0.36, 7.0.50 में JDK 1.7 के साथ परीक्षण करता हूं।

मैंने इस व्यवहार को नहीं समझा है, बजाय, यह संभव होगा यदि कोई मुझे स्प्रिंग सिक्योरिटी 3.2 के साथ कुछ एप्लिकेशन सैंपल युद्ध की दिशा में इंगित करता है जो सीएसआरएफ के साथ काम करता है।

Question 2

ऐसा लगता है कि आपके स्प्रिंग एप्लिकेशन में CSRF (क्रॉस साइट रिक्वेस्ट फोर्जरी) सुरक्षा सक्षम है। वास्तव में यह डिफ़ॉल्ट रूप से सक्षम है।

वसंत के अनुसार ।io :

आपको सीएसआरएफ सुरक्षा का उपयोग कब करना चाहिए? हमारी अनुशंसा किसी भी अनुरोध के लिए CSRF सुरक्षा का उपयोग करना है जिसे सामान्य उपयोगकर्ताओं द्वारा ब्राउज़र द्वारा संसाधित किया जा सकता है। यदि आप केवल गैर-ब्राउज़र क्लाइंट द्वारा उपयोग की जाने वाली सेवा बना रहे हैं, तो आप संभवतः CSRF सुरक्षा को अक्षम करना चाहेंगे।

तो इसे निष्क्रिय करने के लिए:

@Configuration
public class RestSecurityConfig extends WebSecurityConfigurerAdapter {
  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable();
  }
}

यदि आप सीएसआरएफ सुरक्षा को सक्षम रखना चाहते हैं, तो आपको अपने फॉर्म में शामिल करना होगा csrftoken। आप इसे इस तरह से कर सकते हैं:

<form .... >
  ....other fields here....
  <input type="hidden"  name="${_csrf.parameterName}"   value="${_csrf.token}"/>
</form>

आप फॉर्म की कार्रवाई में CSRF टोकन भी शामिल कर सकते हैं:

<form action="./upload?${_csrf.parameterName}=${_csrf.token}" method="post" enctype="multipart/form-data">

Question 3

क्या आपको लॉगिन फ़ॉर्म में नहीं जोड़ा जाना चाहिए ?;

<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>

जैसा कि यहां वसंत सुरक्षा दस्तावेज में कहा गया है

Question 4

यदि आप आवेदन करेंगे security="none"तो कोई सीएसआरएफ टोकन उत्पन्न नहीं होगा। पृष्ठ सुरक्षा फ़िल्टर से नहीं गुजरेगा। भूमिका का उपयोग करें।

मैं विवरण में नहीं गया हूं, लेकिन यह मेरे लिए काम कर रहा है।

 <http auto-config="true" use-expressions="true">
   <intercept-url pattern="/login.jsp" access="hasRole('ANONYMOUS')" />
   <!-- you configuration -->
   </http>

Question 5

इसे बदलने की कोशिश करें: <csrf /> इसे <csrf disabled="true"/>:। यह csfr को अक्षम करना चाहिए।

Question 6

Thymeleaf के साथ आप जोड़ सकते हैं:

<input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}"/>

Question 7

सीएसआरएफ को निष्क्रिय करने के लिए स्प्रिंग प्रलेखन: https://docs.spring.io/spring-security/site/docs/current/reference/html/csrf.html#csrf-configure

@EnableWebSecurity
public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {

   @Override
   protected void configure(HttpSecurity http) throws Exception {
      http.csrf().disable();
   }
}

Question 8

मुझे भी यहीं समस्या होती थी।

आपकी कॉन्फ़िगरेशन सुरक्षा का उपयोग करती है = "कोई नहीं" इसलिए _csrf उत्पन्न नहीं कर सकती:

<http pattern="/login.jsp" security="none"/>

आप पृष्ठ /login.jsp के लिए "IS_AUTHENTICATED_ANONYMOUSLY" का उपयोग कर सकते हैं।

<http>
    <intercept-url pattern="/login.jsp*" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
    <intercept-url pattern="/**" access="ROLE_USER"/>
    <form-login login-page="/login.jsp"
            authentication-failure-url="/login.jsp?error=1"
            default-target-url="/index.jsp"/>
    <logout/>
    <csrf />
</http>

Question 9

मुझे लगता है कि सीएसआरएफ केवल वसंत रूपों के साथ काम करता है

<%@ taglib prefix="form" uri="http://www.springframework.org/tags/form" %>

form:formटैग को बदलना और उसे देखना जो काम करता है।

Question 10

कृपया गितूब पर मेरा काम करने का नमूना आवेदन देखें और अपने सेट अप के साथ तुलना करें।

Question 11

न तो किसी एक समाधान ने मुझे काम दिया। केवल एक जो मेरे लिए वसंत के रूप में काम करता है वह है:

क्रिया = "./ अपलोड करें! $ {_ csrf.parameterName} = $ {_ csrf.tokee}"

के साथ बदल दिया:

कार्रवाई = "./ अपलोड करें? _csrf = $ {_ csrf.token}"

(जावा विन्यास में सक्षम सीएसआरएफ के साथ स्प्रिंग 5)

Question 12

अपने नियंत्रक में निम्नलिखित जोड़ें:

@RequestParam(value = "_csrf", required = false) String csrf

और jsp पेज पर ऐड करें

<form:form modelAttribute="someName" action="someURI?${_csrf.parameterName}=${_csrf.token}