Thymeleaf形式的CSRF令牌问题

时间:2019-01-29 23:34:55

标签: java thymeleaf csrf jhipster

我正在将Jhipster Gateway和一些百里香页用于后台操作。

重现错误

生成Jhipster UAA,Jhipster网关。 在Jhipster网关中,创建用于插入和查看用户的登录表单和(例如)用户表单页面。 登录提交表单工作正常,但用户创建表单返回 在请求参数'_csrf'或标头'X-XSRF-TOKEN'上发现无效的CSRF令牌'2b21e375-1f66-4116-82bb-9796877316eb'。

步骤:

调用@controller“ /”以获得登录页面。该请求以cookie“ XCSRF-TOKEN”返回。

Thymeleaf使用隐藏参数“ _csrf”将令牌以登录形式放置,这可以正常工作。

登录后,调用@controller“ / myCustomPage”获取用户创建表单。该请求以cookie“ XCSRF-TOKEN”返回。

Thymeleaf使用隐藏参数“ _csrf”以创建形式放置令牌。

页面还会加载一些CSS,JavaScript文件和图像,这会导致某些响应,这些响应带有不同的“ XCSRF-TOKEN”,从而覆盖了先前检索的原始令牌。

我提交表单时收到错误消息,在请求参数'_csrf'或标头'X-XSRF-TOKEN'上发现了无效的CSRF令牌'2b21e375-1f66-4116-82bb-9796877316eb'。

我该如何解决这个问题?

提前谢谢!

JHipster版本

5.7.2

0 个答案:

没有答案