ReSQL.ru
     
powered by simpleCommunicator - 2.0.56     © 2025 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / Java [игнор отключен] [закрыт для гостей] / Странное поведение обработчика CSRF токена.
7 сообщений из 7, страница 1 из 1
Странное поведение обработчика CSRF токена.
    #39761515
Фотография SQL2008
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
SQL2008
Участник
Столкнулся с непонятным поведением обработчика токена безопасности CSRF.
А именно - если я добавляю на форму (method=POST)

Код: html
1.
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />


То при сабмите выдается ошибка
HTTP Status 403 – ForbiddenInvalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.
Но если добавляю его в GET-параметр вызова,
Код: html
1.
<form action="/photo/upload?${_csrf.parameterName}=${_csrf.token}" method="POST" enctype="multipart/form-data">


то все работает нормально!

Контроллер обычный
Код: java
1.
2.
3.
4.
5.
    @RequestMapping(value = "/photo/upload", method = RequestMethod.POST)
    public ModelAndView photo(@RequestParam("file") MultipartFile file,
    HttpServletRequest request) throws FileNotFoundException, IOException, SQLException {
...
}



Оно конечно можно и так оставить, но хотелось бы ясности в данном вопросе.
...
Рейтинг: 0 / 0
18.01.2019, 14:46
| Ответить | Цитировать | Написать  
Странное поведение обработчика CSRF токена.
    #39761516
Фотография SQL2008
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
SQL2008
Участник
Java Spring 4.0.1 + JDK1.8 + Tomcat 8.0.27
...
Рейтинг: 0 / 0
18.01.2019, 14:47
| Ответить | Цитировать | Написать  
Странное поведение обработчика CSRF токена.
    #39761520
Dimitry Sibiryakov
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Dimitry Sibiryakov
Участник
Ты всерьёз спрашиваешь "почему выдаётся ошибка отсутствия параметра в запросе, когда я не добавляю параметр в запрос" или просто не в курсе чем отличается GET от POST?
...
Рейтинг: 0 / 0
18.01.2019, 14:52
| Ответить | Цитировать | Написать  
Странное поведение обработчика CSRF токена.
    #39761524
Фотография SQL2008
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
SQL2008
Участник
Dimitry SibiryakovТы всерьёз спрашиваешь "почему выдаётся ошибка отсутствия параметра в запросе, когда я не добавляю параметр в запрос

Вы утверждаете, что так нельзя задавать параметр?
Код: html
1.
2.
3.
4.
5.
6.
<form action="/photo/upload" method="POST" enctype="multipart/form-data">
   ...

   <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
   ...
</form>
...
Рейтинг: 0 / 0
18.01.2019, 14:56
| Ответить | Цитировать | Написать  
Странное поведение обработчика CSRF токена.
    #39761546
Озверин
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Озверин
Участник
SQL2008, https://docs.spring.io/spring-security/site/docs/4.0.x/reference/html/csrf.html

автор16.5.4 Multipart (file upload)
There are two options to using CSRF protection with multipart/form-data. Each option has its tradeoffs.

Placing MultipartFilter before Spring Security
Include CSRF token in action
[Note]
Before you integrate Spring Security’s CSRF protection with multipart file upload, ensure that you can upload without the CSRF protection first. More information about using multipart forms with Spring can be found within the 17.10 Spring’s multipart (file upload) support section of the Spring reference and the MultipartFilter javadoc.
...
Рейтинг: 0 / 0
18.01.2019, 15:22
| Ответить | Цитировать | Написать  
Странное поведение обработчика CSRF токена.
    #39761560
Озверин
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Озверин
Участник
Dimitry SibiryakovТы всерьёз спрашиваешь "почему выдаётся ошибка отсутствия параметра в запросе, когда я не добавляю параметр в запрос" или просто не в курсе чем отличается GET от POST?

а Дмитрий всерьез говорит,что реквест атрибут и реквест параметр надо отличать друг от друга. В случае мультипарт сообщения - в какую-часть мультипарта вы хотите засунуть токен? А именно это вы и делаете, когда объявляете токен в поле формы.
...
Рейтинг: 0 / 0
18.01.2019, 15:30
| Ответить | Цитировать | Написать  
Странное поведение обработчика CSRF токена.
    #39761567
Фотография SQL2008
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
SQL2008
Участник
ОзверинDimitry SibiryakovТы всерьёз спрашиваешь "почему выдаётся ошибка отсутствия параметра в запросе, когда я не добавляю параметр в запрос" или просто не в курсе чем отличается GET от POST?

а Дмитрий всерьез говорит,что реквест атрибут и реквест параметр надо отличать друг от друга. В случае мультипарт сообщения - в какую-часть мультипарта вы хотите засунуть токен? А именно это вы и делаете, когда объявляете токен в поле формы.
Вы правы! В других случаях (не мультипарт) все работает нормально.
Спасибо за разъяснения!
А то всю голову сломал.
...
Рейтинг: 0 / 0
18.01.2019, 15:34
| Ответить | Цитировать | Написать  
7 сообщений из 7, страница 1 из 1
Форумы / Java [игнор отключен] [закрыт для гостей] / Странное поведение обработчика CSRF токена.
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение
NoSQL.ru       Новости, Чат       Фотоальбом: Участники, Встречи
Закрыть
start [/forum/topic.php?fid=59&fpage=33&tid=2121530]:
 0ms
get settings:
 9ms
get forum list:
 12ms
check forum access:
 4ms
check topic access:
 4ms
track hit:
 41ms
get topic data:
 11ms
get forum data:
 1ms
get page messages:
 41ms
get tp. blocked users:
 1ms
others: 330ms
total:  454ms
созд. / загр.: 454ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]