那些遇到过的问题

Spring 何时发回 XSRF-TOKEN set-cookie 响应标头?

Meh*_*ran 2 spring csrf spring-security x-xsrf-token

标题很好地总结了这一切。我要求应满足的条件,以便 Spring 决定发回Set-Cookie:XSRF-TOKEN=...响应标头。

我可以看到我的很多请求都收到带有此类标头的响应,而实际上不需要它。例如,当我发送 GET 请求时,即使我已经X-XSRF-TOKEN为请求设置了 ,它也会收到带有该标头集的响应。但是对于具有上述请求标头的 POST 请求,Spring 将阻止发回 set-cookie 标头。所以我想知道应该满足什么条件,Spring 才会决定发回一个。

Meh*_*ran 6

我花了一些时间跟踪 Spring Security 的源代码,并设法自己找到了答案。

首先,我不知道CSRF是如何工作的,跟踪代码帮助我完全理解了它。我认为这是值得了解的事情。以下是从 CSRF 角度发送和接收请求和响应的场景:

  1. 第一个请求被发送到服务器。由于它是第一个,因此它没有设置 cookie 或标头。
  2. 无论请求的方法如何,服务器(此处为 Spring Security)都会查看传入的请求。如果没有以 XSRF-TOKEN 名称发送到服务器的 cookie,它将在响应返回时生成 SET COOKIE 标头。
  3. 客户端收到 cookie,对于第二个请求,它将在名称 X-XSRF-TOKEN 下向请求添加一个标头,该标头设置为与收到的 cookie 相同的值。当然,cookie会随着第二次请求自动发送到服务器。
  4. 当服务器收到第二个请求时,这次它有一个 XSRF-TOKEN cookie,因此它将查找 X-XSRF-TOKEN 标头,并且仅当这两个字符串匹配时才认为该请求有效。

至于我的问题的答案,正如我在第二步中提到的,如果没有向服务器发送 cookie(带有 XSRF-TOKEN 名称),则会生成 cookie。而且它不依赖于任何其他因素 - 无论如何!

归档时间:

查看次数:

3209 次

最近记录:

8 年,10 月 前
相关归档
Spring JPA Projection findAll 14
如何在使用new创建的对象中在spring中自动装配对象 13
Spring Security如何添加/配置AuthenticationManagerBuilder? 12
EHCache如何检查缓存中是否存在某些内容? 9
Jersey ExceptionMapper不映射异常 8
如何在Spring启动测试期间查看自动配置日志输出(集成测试) 8
RestTemplate没有传递Origin头 7
j_spring_security_check 404问题 5
Dropzone CSRF令牌不匹配Laravel 5 4
单点登录+弹簧 2
难疑归档
使用CSS更改HTML5输入的占位符颜色 3876
JavaScript中的变量范围是什么? 1952
如何生成随机字母数字字符串? 1679
JavaScript检查变量是否存在(定义/初始化) 1642
如何检查字符串是否为数字(浮点数)? 1519
<meta http-equiv ="X-UA-Compatible"content ="IE = edge">是做什么用的? 1378
显示屏上的转换:属性 1322
在调用instanceof之前需要进行空检查吗? 1287
如何在find中排除目录.命令 1250
在对象名称之前单个和双下划线的含义是什么? 1205