然后你开开心心的输入了用户名user,密码user,就出现了如下的界面:

403什么异常?这是SpringSecurity中的权限不足!这个异常怎么来的?还记得上面SpringSecurity内置认证页面源码中的那个_csrf隐藏input吗?问题就在这了!

完整的spring-security配置如下

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xmlns:context="http://www.springframework.org/schema/context"xmlns:aop="http://www.springframework.org/schema/aop"xmlns:tx="http://www.springframework.org/schema/tx"xmlns:mvc="http://www.springframework.org/schema/mvc"xmlns:security="http://www.springframework.org/schema/security"xsi:schemaLocation="http://www.springframework.org/schema/beanshttp://www.springframework.org/schema/beans/spring-beans.xsdhttp://www.springframework.org/schema/contexthttp://www.springframework.org/schema/context/spring-context.xsdhttp://www.springframework.org/schema/aophttp://www.springframework.org/schema/aop/spring-aop.xsdhttp://www.springframework.org/schema/txhttp://www.springframework.org/schema/tx/spring-tx.xsdhttp://www.springframework.org/schema/mvchttp://www.springframework.org/schema/mvc/spring-mvc.xsdhttp://www.springframework.org/schema/securityhttp://www.springframework.org/schema/security/spring-security.xsd"><!--释放静态资源--><security:http pattern="/css/**" security="none"/><security:http pattern="/img/**" security="none"/><security:http pattern="/plugins/**" security="none"/><security:http pattern="/failer.jsp" security="none"/><!--配置springSecurity--><!--auto-config="true"  表示自动加载springsecurity的配置文件use-expressions="true" 表示使用spring的el表达式来配置springsecurity--><security:http auto-config="true" use-expressions="true"><!--让认证页面可以匿名访问--><security:intercept-url pattern="/login.jsp" access="permitAll()"/><!--拦截资源--><!--pattern="/**" 表示拦截所有资源access="hasAnyRole('ROLE_USER')" 表示只有ROLE_USER角色才能访问资源--><security:intercept-url pattern="/**" access="hasAnyRole('ROLE_USER')"/><!--配置认证信息--><security:form-login login-page="/login.jsp"login-processing-url="/login"default-target-url="/index.jsp"authentication-failure-url="/failer.jsp"/><!--配置退出登录信息--><security:logout logout-url="/logout"logout-success-url="/login.jsp"/><!--去掉csrf拦截的过滤器--><!--<security:csrf disabled="true"/>--></security:http><!--把加密对象放入的IOC容器中--><bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/><!--设置Spring Security认证用户信息的来源--><!--springsecurity默认的认证必须是加密的,加上{noop}表示不加密认证。--><security:authentication-manager><security:authentication-provider user-service-ref="userServiceImpl"><security:password-encoder ref="passwordEncoder"/></security:authentication-provider></security:authentication-manager>
</beans>

SpringSecurity关闭csrf拦截相关推荐

  1. Spring Security4 CSRF 如何关闭CSRF功能

    什么是CSRF? csrf又称跨域请求伪造,攻击方通过伪造用户请求访问受信任站点.CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社 ...

  2. SpringSecurity的csrf防护措施

    SpringSecurity的csrf防护机制 CSRF(Cross-site request forgery)跨站请求伪造,是一种难以防范的网络攻击方式. SpringSecurity中CsrfFi ...

  3. 新版Jenkins关闭CSRF“HTTP ERROR 403 No valid crumb was included in the request“

    新版Jenkins关闭CSRF hudson.security.csrf.GlobalCrumbIssuerConfiguration.DISABLE_CSRF_PROTECTION = true & ...

  4. 《Java实战开发》利用spring-security解决CSRF问题,通过重写CsrfFilter 过滤掉指定方法

    最近项目渗透测试检测出一些安全问题其中一项为csrf攻击隐患,然后开始修复 csrf简介 CSRF(Cross-site request forgery)跨站请求伪造,也被称为"One Cl ...

  5. SpringSecurity之CSRF漏洞保护

    1.csrf简介 CSRF(Cross-Site Request Forgery跨站请求伪造),也可称为一键式攻击(one-click-attack),通常缩写为CSRF或者XSRF CSRF攻击是一 ...

  6. Error 403 No valid crumb was included in the request 报错解决 容器化jenkins关闭CSRF

    现象 gitlab 连接 安装在容器中的jenkins时,如果使用的是高版本的 jenkins ,会出现403错误,Error 403 No valid crumb was included in t ...

  7. SpringBoot+SpringSecurity+Thymeleaf 演示CSRF攻击

    目录 一.什么是CSRF? 二.演示CSRF攻击 2.1.添加pom依赖 2.2.添加UserDetailsService实现类 2.3.添加security配置类 2.4.添加控制器 2.5.添加h ...

  8. Spring-Security 简介、入门案例详解、安全框架、权限验证 SSM项目 使用 JavaConfig配置

    Spring-Security 简介 一.介绍 二.详细步骤 1.创建一个maven项目 添加web 框架. 2.导入依赖 3.项目整体结构 4.Spring 容器配置 5.servletContex ...

  9. spring-security权限控制详解

    在本例中,主要讲解spring-boot与spring-security的集成,实现方式为: 将用户.权限.资源(url)采用数据库存储 自定义过滤器,代替原有的 FilterSecurityInte ...

最新文章

  1. GraphSAGE:我寻思GCN也没我厉害!
  2. AribaWeb 框架学习系列之一
  3. 利用STC8G1K08实现的数字信号合成模块
  4. javascript的基础(1)
  5. mysql的程序怎么升级成mysqli_如何将mysql更改为mysqli?-问答-阿里云开发者社区-阿里云...
  6. 快充线与普通线的区别_四种不同线身材质对比:iPhone12首次标配编织线或将引领潮流?...
  7. qt程序使用多行linux命令,开发Qt应用程序的基本方法总结
  8. linux环境下grep的相关含义
  9. mysql删除字段sql语句_删除字段的sql语句是什么
  10. 关于el-dialog中@close事件和取消确认按钮并用,会触发两次关闭表单的操作(!表单为子组件时)
  11. 随记:PNP和NPN三极管区别
  12. SRGAN-超分辨率图像复原
  13. 阿里云 mysql参数_阿里云MYSQL数据库怎么修改参数值?
  14. 【C++学习笔记】标准库类型string
  15. 阿里的敏捷组织和中台策略有何不同?
  16. android /system,Android中SystemUI解析
  17. [转]静态框架导航,左侧折叠树的样式,类似于treeview
  18. 基于java的学生选课系统_基于Java的学生选课系统.doc
  19. 江苏省小学生计算机装备标准,江苏省小学信息技术装备标准汇编.doc
  20. MySQL 数据表主键设计,选择自增 id 还是 UUID 还是雪花 id?

热门文章

  1. Linux:-bash: ***: command not found
  2. Linux下Weblogic 11g R1安装和配置
  3. [C # 读书笔记]interface 接口 abstract
  4. Vista Media Center 开发之深入浅出 (二) --Vista Media Center 程序的新建及部署
  5. Spring boot变量的初始化顺序
  6. 使用JDBC操作数据库时,如何提升读取数据的性能?如何提升更新数据的性能?...
  7. Mysql group by 排序问题
  8. 转: 关于流量控制与令牌桶介绍
  9. 【编程题目】输入一个已经按升序排序过的数组和一个数字,在数组中查找两个数,使得它们的和正好是输入的那个数字。...
  10. I/O流(三)—对象的序列化和反序列化