基于Spring Security+Spring MVC的web应用，为了防止跨站提交攻击，通常会配置csrf，即：

     <http ...>

         ...

         <csrf />

     </http>

如果应用中有Post方式访问的Rest服务(参考下面的代码)，会很不幸的发现，所有POST方式请求的服务会调用失败。

     @RequestMapping(value = "/user/create", method = RequestMethod.POST)

     @ResponseBody

     public UserInfo createUser(@RequestBody(required = true) UserInfo user,

             HttpServletRequest request, HttpServletResponse response)

             throws Exception {

         ...

     }

原因在于：启用csrf后，所有http请求都被会CsrfFilter拦截，而CsrfFilter中有一个私有类DefaultRequiresCsrfMatcher

     private static final class DefaultRequiresCsrfMatcher implements RequestMatcher {

         private Pattern allowedMethods = Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$");

         /* (non-Javadoc)

          * @see org.springframework.security.web.util.matcher.RequestMatcher#matches(javax.servlet.http.HttpServletRequest)

          */

         public boolean matches(HttpServletRequest request) {

             return !allowedMethods.matcher(request.getMethod()).matches();

         }

     }

从这段源码可以发现，POST方法被排除在外了，也就是说只有GET|HEAD|TRACE|OPTIONS这4类方法会被放行，其它Method的http请求，都要验证_csrf的token是否正确，而通常post方式调用rest服务时，又没有_csrf的token，所以校验失败。

解决方法：自己弄一个Matcher

 package com.cnblogs.yjmyzz.utils;

 import java.util.List;

 import java.util.regex.Pattern;

 import javax.servlet.http.HttpServletRequest;

 import org.springframework.security.web.util.matcher.RequestMatcher;

 public class CsrfSecurityRequestMatcher implements RequestMatcher {

     private Pattern allowedMethods = Pattern

             .compile("^(GET|HEAD|TRACE|OPTIONS)$");

     public boolean matches(HttpServletRequest request) {

         if (execludeUrls != null && execludeUrls.size() > 0) {

             String servletPath = request.getServletPath();

             for (String url : execludeUrls) {

                 if (servletPath.contains(url)) {

                     return false;

                 }

             }

         }

         return !allowedMethods.matcher(request.getMethod()).matches();

     }

     /**

      * 需要排除的url列表

      */

     private List<String> execludeUrls;

     public List<String> getExecludeUrls() {

         return execludeUrls;

     }

     public void setExecludeUrls(List<String> execludeUrls) {

         this.execludeUrls = execludeUrls;

     }

 }

这里添加了一个属性execludeUrls，允许人为排除哪些url。

然后在配置文件里，这样修改：

     <http entry-point-ref="loginEntryPoint" use-expressions="true">

         ...

         <intercept-url pattern="/rest/**" access="permitAll" />

         ...

         <csrf request-matcher-ref="csrfSecurityRequestMatcher"/>

     </http>

     <beans:bean id="csrfSecurityRequestMatcher" class="com.cnblogs.yjmyzz.utils.CsrfSecurityRequestMatcher">

         <beans:property name="execludeUrls">

             <beans:list>

                 <beans:value>/rest/</beans:value>

             </beans:list>

         </beans:property>

     </beans:bean>

这里约定所有/rest/开头的都是Rest服务地址，上面的配置就把/rest/排除在csrf验证的范围之外了.

Spring Security笔记：解决CsrfFilter与Rest服务Post方式的矛盾的更多相关文章

1. Spring Security笔记：HTTP Basic 认证

   在第一节 Spring Security笔记:Hello World 的基础上,只要把Spring-Security.xml里改一个位置 <http auto-config="true ...

2. 【Spring学习笔记-MVC-4】SpringMVC返回Json数据-方式2

   <Spring学习笔记-MVC>系列文章,讲解返回json数据的文章共有3篇,分别为: [Spring学习笔记-MVC-3]SpringMVC返回Json数据-方式1:http://www ...

3. 【Spring学习笔记-MVC-3】SpringMVC返回Json数据-方式1

   <Spring学习笔记-MVC>系列文章,讲解返回json数据的文章共有3篇,分别为: [Spring学习笔记-MVC-3]SpringMVC返回Json数据-方式1:http://www ...

4. Spring Security笔记：自定义Login&sol;Logout Filter、AuthenticationProvider、AuthenticationToken

   在前面的学习中,配置文件中的<http>...</http>都是采用的auto-config="true"这种自动配置模式,根据Spring Securit ...

5. Spring Security笔记：Remember Me&lpar;下次自动登录&rpar;

   前一节学习了如何限制登录尝试次数,今天在这个基础上再增加一点新功能:Remember Me. 很多网站,比如博客园,在登录页面就有这个选项,勾选“下次自动登录”后,在一定时间段内,只要不清空浏览器Co ...

6. Spring Security笔记：使用数据库进行用户认证&lpar;form login using database&rpar;

   在前一节,学习了如何自定义登录页,但是用户名.密码仍然是配置在xml中的,这样显然太非主流,本节将学习如何把用户名/密码/角色存储在db中,通过db来实现用户认证 一.项目结构 与前面的示例相比,因为 ...

7. Spring Security笔记：Hello World

   本文演示了Spring Security的最最基本用法,二个页面(或理解成二个url),一个需要登录认证后才能访问(比如:../admin/),一个可匿名访问(比如:../welcome) 注:以下内 ...

8. Spring Security笔记：登录尝试次数限制

   今天在前面一节的基础之上,再增加一点新内容,默认情况下Spring Security不会对登录错误的尝试次数做限制,也就是说允许暴力尝试,这显然不够安全,下面的内容将带着大家一起学习如何限制登录尝试次 ...

9. Spring Security笔记：使用BCrypt算法加密存储登录密码

   在前一节使用数据库进行用户认证(form login using database)里,我们学习了如何把“登录帐号.密码”存储在db中,但是密码都是明文存储的,显然不太讲究.这一节将学习如何使用spr ...

随机推荐

1. Fiddler 抓包工具总结

   阅读目录 1. Fiddler 抓包简介 1). 字段说明 2). Statistics 请求的性能数据分析 3). Inspectors 查看数据内容 4). AutoResponder 允许拦截制 ...

2. c&plus;&plus;11 新特性之lambda表达式

   写过c#之后,觉得c#里的lambda表达式和delegate配合使用,这样的机制用起来非常爽.c++11也有了lambda表达式,形式上有细小的差异.形式如下: c#:(input paramete ...

3. 【BZOJ1012】 【JSOI2008】最大数maxnumber

   Description 现在请求你维护一个数列,要求提供以下两种操作: 1. 查询操作.语法:Q L 功能:查询当前数列中末尾L个数中的最大的数,并输出这个数的值.限制:L不超过当前数列的长度. 2. ...

4. Javacard 解释器怎样在API类库中找到源文件调用的类、方法或者静态域？

   申明:本篇非本人原创,是在阅读各种论文文献之后,对论文文献的一种梳理. 主要参考文献为: ------------------------------------------------------- ...

5. &period;NET下的并行开发（案例代码）

   以下主要是通过一个报表处理程序来说明并行开发的方式.对于数据冲突和共享,可以通过对象数组解决.设计到并行的核心代码已用红色标出.在并行程序的处理上,需要把原来串行的子公司变成一个一个类的对象,让所有的 ...

6. uva 725 Division（暴力模拟）

   Division 紫书入门级别的暴力,可我还是写了好长时间 = = [题目链接]uva 725 [题目类型]化简暴力 &题解: 首先要看懂题意,他的意思也就是0~9都只出现一遍,在这2个5位数 ...

7. Dynamics CRM 2013 体验

   CRM 2013终于可以下载了,赶紧下载安装. 在CRM 2011 的基础上,CRM 2013 在UI上有了很大的变化.从CRM 2011 RollUp 12开始,微软就放弃了按钮的立体效果,逐渐趋向 ...

8. 关于火狐浏览器在开发调试过程中，出现javascript&colon;void&lpar;0&rpar;的状态

   关于火狐浏览器在开发调试过程中,出现javascript:void(0)的状态 由于火狐浏览器没有安装 Adobe Flash Player 19 NPAPI这个插件 安装好了之后就可以直接运行了

9. Learning-MySQL【6】：视图、触发器、存储过程、函数、流程控制

   一.视图 视图就是通过查询得到一张虚拟表,然后保存下来,下次用的直接使用即可.使用视图我们可以把查询过程中的临时表摘出来,用视图去实现,这样以后再想操作该临时表的数据时就无需重写复杂的 SQL 语句了 ...

10. 由sql注入联想到PreparedStatement

    PreparedStatement极大地提高了安全性. 即使到目前为止,仍有一些人连基本的恶意SQL语法都不知道. String  sql  =  "select  *  from  tb_ ...