大佬教程收集整理的这篇文章主要介绍了使用AngularJS的Spring Boot和CSRF – Forbitten 403 – >错误的注销,大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。
@Override protected void configure(final httpSecurity http) throws Exception { http.csrf().csrfTokenRepository(csrfTokenRepository()); http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); final String[] restEndpointsToSecure = WebSecurityConfig.restEndpointsToSecure; for (final String endpoint : restEndpointsToSecurE) { http.authorizerequests().antMatchers("/" + endpoint + "/**").hasRole(UserRoleEnum.USER.toString()); } http.addFilterAfter(csrfTokenResponseHeaderBindingFilter(),CsrfFilter.class); xAuthTokenConfigurer.setDetailsservice(userDetailsserviceBean()); final SecurityConfigurer<DefaultSecurityFilterChain,httpSecurity> securityConfigurerAdapter = xAuthTokenConfigurer; http.apply(securityConfigurerAdapter); }
CSRF-令牌过滤器如下所示:
@Override protected void doFilterInternal(httpServletrequest request,httpServletResponse response,javax.servlet.FilterChain filterChain) throws ServletException,IOException { final CsrfToken csrf = (CsrfToken)request.getAttribute(CsrfToken.class.getName()); if (csrf != null) { Cookie cookie = WebUtils.getCookie(request,"XSRF-TOKEN"); final String token = csrf.getToken(); if (cookie == null || token != null && !token.equals(cookie.getValue())) { cookie = new Cookie("XSRF-TOKEN",token); cookie.setPath("/"); response.addCookie(cookiE); } } filterChain.doFilter(request,responsE); }
通常它工作正常,请求头属性X-XSRF-TOKEN与每个请求一起发送.但我有一个奇怪的行为.
我将在应用程序中更新我的用户配置文件.它第一次工作正常,第二次,我得到一个http 403 Forbidden,实际上我真的不知道为什么.
我在这两个更新之间没有做任何事情(没有导航到这两个更新之间的其他页面或其他内容).
在底部的图片中,左边的request是有效的,右边是failes.唯一不同的是,在右侧,响应头中缺少属性Set-Cookie和X-Application-context.请求标头是相同的.
有谁知道我在这里做错了什么.这对我来说是神秘主义者.
作为解决方案,您可以更正前端控制器或作为另一种解决方法,您可以将以下内容添加到您的代码中
>仅在检测到CORS时添加CORS标头并传递原始标头,以便允许访问用户内容.
>使用http 200消息响应OPTIONS请求
static final String ORIGIN = "Origin"; if (request.getHeader(ORIGIN).equals("null")) { String origin = request.getHeader(ORIGIN); response.setHeader("Access-Control-Allow-Origin","*");//* or origin as u prefer response.setHeader("Access-Control-Allow-Credentials","true"); response.setHeader("Access-Control-Allow-Headers",request.getHeader("Access-Control-request-Headers")); } if (request.getmethod().equals("OPTIONS")) { try { response.getWriter().print("OK"); response.getWriter().flush(); } catch (IOException E) { e.printStackTrace(); } }
//your other configs < security:custom-filter ref="corsHandler" after="PRE_AUTH_FILTER"/>
以上是大佬教程为你收集整理的使用AngularJS的Spring Boot和CSRF – Forbitten 403 – >错误的注销全部内容,希望文章能够帮你解决使用AngularJS的Spring Boot和CSRF – Forbitten 403 – >错误的注销所遇到的程序开发问题。
如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。