HTTP状态403-找不到预期的CSRF令牌。会话是否已过期?

时间:2019-08-10 07:13:55

标签: spring-mvc jsp csrf

我有一个Spring MVC应用程序,视图层基于jsp。有时我收到此错误消息,并且此消息为true,会话确实过期了。如果我再次登录,那一切都很好。 我正在使用以下机制发送CSRF令牌: 在第2部分中,添加了元标记:

<meta name="_csrf" content="${_csrf.token}" /> 
<meta name="_csrf_header" content="${_csrf.headerName}" />

在每个Ajax调用中,都会检索令牌和标头:

var token = $("meta[name='_csrf']").attr("content");
var header = $("meta[name='_csrf_header']").attr("content");

然后使用XMLHttpRequest发送此标头和令牌:

$.ajax({
        type : "GET",
        url : xxx,

        beforeSend : function(xhr) {
            xhr.setRequestHeader(header, token);
        },
        complete : function() {
        },
        success : function(response) {
        }       
});

在大多数jsp页面中都是这样。我试图在警报消息中捕获令牌并起作用。如果会话已通过一个页面过期,我想将用户重定向到登录页面,该页面将显示用户被重定向的原因。该怎么办?

在服务器端Spring中,我们使用了基于xml的配置:

<http auto-config="true"  use-expressions="true">
  ...
  <csrf/>
</http>

1 个答案:

答案 0 :(得分:0)

我在application-security.xml中添加了以下内容,它解决了此特定情况下的问题,尽管我在其他一些情况下也面临CSRF异常:

<http auto-config="true"  use-expressions="true">
...

<session-management invalid-session-url="/login">
        <concurrency-control expired-url="/login" />
    </session-management>
</http>
相关问题
最新问题