Как спринг понимает какой csrf токен связан с каким-то запросом / Java

ReSQL.ru

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Новые сообщения | Избранное

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Java [игнор отключен] [закрыт для гостей] / Как спринг понимает какой csrf токен связан с каким-то запросом

1 сообщений из 1, страница 1 из 1

Как спринг понимает какой csrf токен связан с каким-то запросом

#39637987

questioner

Гость

В спринге по умолчанию включена csrf защита

Если её не выключать, то на странице надо писать( https://docs.spring.io/spring-security/site/docs/current/reference/html/csrf.html#csrf-include-csrf-token-ajax) что-то типа:

Код: html

1.
2.
3.
4.
5.
6.
7.
8.

<html>
<head>
	<meta name="_csrf" content="${_csrf.token}"/>
	<!-- default header name is X-CSRF-TOKEN -->
	<meta name="_csrf_header" content="${_csrf.headerName}"/>
	<!-- ... -->
</head>
<!-- ... -->

Ну и при запросе надо писать:

Код: javascript

1.
2.
3.
4.
5.
6.
7.

$(function () {
var token = $("meta[name='_csrf']").attr("content");
var header = $("meta[name='_csrf_header']").attr("content");
$(document).ajaxSend(function(e, xhr, options) {
	xhr.setRequestHeader(header, token);
});
})

Как я понимаю суть защиты в том, что сервер генерирует уникальный идентификатор для каждого последующего запроса и проверяет, что при запросе был передан правильный идентификатор, иначе отклоняет этот запрос.
Этот идентификатор одноразовый?
Я так понимаю

Код: html

<meta name="_csrf" content="${_csrf.token}"/>

рендерится только единожды и как тогда быть если у нас страница никогда не перезагружается, а всё делается через ajax ?

...

Рейтинг:

0 / 0

28.04.2018, 12:38

| Ответить | Цитировать | Написать

1 сообщений из 1, страница 1 из 1

Форумы / Java [игнор отключен] [закрыт для гостей] / Как спринг понимает какой csrf токен связан с каким-то запросом

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=59&tid=2122085]:	0ms
get settings:	10ms
get forum list:	12ms
check forum access:	4ms
check topic access:	4ms
track hit:	155ms
get topic data:	13ms
get forum data:	3ms
get page messages:	29ms
get tp. blocked users:	2ms
others:	12ms

total:	244ms