内置的用于获取csrf令牌的方法

时间:2019-02-28 21:56:11

标签: java spring-security csrf

我已在 Spring Security 3.2.9.RELEASE 中启用了csrf。我在网上发现了用于获取csrf令牌的这些选项:

include token is http response headers

OR

手动创建一个GET api进行检索

@RequestMapping(method = RequestMethod.GET, value = "/csrf")
    public @ResponseBody String retrieveCsrfToken(HttpServletRequest request) throws Exception {
        if (null != request.getSession(false)) {
            System.out.println("session exist ");
        }
        CsrfToken token = (CsrfToken) request.getAttribute(CsrfToken.class.getName());
        return token.getToken();
    }

是否没有内置的机制来检索它?
获取令牌的默认默认方式是什么?

除此一种获取令牌的方法外,所有其他csrf功能都已被编码/内置(在春季之前)。我觉得我错过了一些东西。

1 个答案:

答案 0 :(得分:1)

spring-security-web模块允许通过引用$_csrf参数来访问视图中的CSRF令牌。根据{{​​3}},这可以作为表单提交的一部分来完成:

<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>

或存储在<meta>标签中:

<meta name="_csrf" content="${_csrf.token}"/>
<meta name="_csrf_header" content="${_csrf.headerName}"/>

进一步阅读JavaScript:

$(function () {
  var token = $("meta[name='_csrf']").attr("content");
  var header = $("meta[name='_csrf_header']").attr("content");
  $(document).ajaxSend(function(e, xhr, options) {
    xhr.setRequestHeader(header, token);
  });
});