当我们在spring boot的configure中disable掉csrf时就避免了以上这种可能性。
当csrf是enable时项目是这样运行的:
从Spring Security 4.0开始,默认情况下会启用CSRF保护,以防止CSRF攻击应用程序,Spring Security CSRF会针对PATCH,POST,PUT和DELETE方法进行防护。所以这几个方法的返回都是forbidden。所以在默认配置下,即便已经登录了,页面中发起PATCH,POST,PUT和DELETE请求依然会被拒绝,并返回403,需要在请求接口的时候加入csrftoken才行。
获得与使用csrftoken
在登陆后呼叫get方法,则可以获得一些cookies(需要安装interceptor)。在这些cookies中就有csrftoken
把从cookies中获得的csrftoken添加到header中,这样我们就可以访问除get外的其他方法了。
使用csrftoken
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。
