以下配置基于spring boot版本1.4.2.RELEASE,默认引入的spring security版本为4.1.3.RELEASE,页面模板采用thymeleaf。
问题现象:
HTTP Status 403-Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.
关于CSRF的描述,此处不再赘述,解决方案如下。
第1、2、3种方案测试通过,第四种方式未做测试。
1.定义headers,post方式提交的时候带上headers的信息。
var headers = {};
headers['X-CSRF-TOKEN'] = "[[${_csrf.token}]]";
$.ajax({
url: url,
type: "POST",
headers: headers,
dataType: "json",
success: function(result) {
}
});
2.直接作为参数提交。
$.ajax({
url: url,
data: {
"[[${_csrf.parameterName}]]": "[[${_csrf.token}]]"
},
type: "POST",
dataType: "json",
success: function(result) {
}
});
3.form提交的时候,如果出现csrf问题,可将该参数作为隐藏项。跟第二种方式类似。
<input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}">
4.在 @EnableWebSecurity配置中,禁用CSRF。
http.csrf().disable();
