Недійсний маркер CSRF 'null' знайдено у параметрі запиту '_csrf' або заголовку 'X-CSRF-TOKEN'

Question 1

Після налаштування Spring Security 3.2 _csrf.tokenне пов'язаний із запитом або об'єктом сеансу.

Це конфігурація безпеки навесні:

<http pattern="/login.jsp" security="none"/>

<http>
    <intercept-url pattern="/**" access="ROLE_USER"/>
    <form-login login-page="/login.jsp"
                authentication-failure-url="/login.jsp?error=1"
                default-target-url="/index.jsp"/>
    <logout/>
    <csrf />
</http>

<authentication-manager>
    <authentication-provider>
        <user-service>
            <user name="test" password="test" authorities="ROLE_USER/>
        </user-service>
    </authentication-provider>
</authentication-manager>

Файл login.jsp

<form name="f" action="${contextPath}/j_spring_security_check" method="post" >
    <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
    <button id="ingresarButton"
            name="submit"
            type="submit"
            class="right"
            style="margin-right: 10px;">Ingresar</button>
    <span>
        <label for="usuario">Usuario :</label>
        <input type="text" name="j_username" id="u" class="" value=''/>
    </span>
    <span>
        <label for="clave">Contrase&ntilde;a :</label>

        <input type="password"
               name="j_password"
               id="p"
               class=""
               onfocus="vc_psfocus = 1;"
               value="">
    </span>
</form>

І він відображає наступний html:

<input type="hidden" name="" value="" />

Результат - 403 статус HTTP:

Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.

ОНОВЛЕННЯ Після деякої налагодження, об'єкт запиту виходить із тонкої форми DelegatingFilterProxy, але в рядку 469 CoyoteAdapter він виконує request.recycle (); що стирає всі атрибути ...

Я тестую в Tomcat 6.0.36, 7.0.50 з JDK 1.7.

Я не розумів такої поведінки, аніж, можливо, якщо хтось спрямує мене у бік якоїсь зразкової війни додатків із Spring Security 3.2, яка працює з CSRF.

Question 2

Схоже, захист CSRF (Cross Site Request Forgery) у вашій програмі Spring увімкнено. Насправді це включено за замовчуванням.

За даними spring.io :

Коли слід використовувати захист від CSRF? Ми рекомендуємо використовувати захист CSRF для будь-якого запиту, який може бути оброблений браузером звичайними користувачами. Якщо ви створюєте лише службу, яка використовується клієнтами, що не переглядають браузер, ви, швидше за все, захочете відключити захист CSRF.

Отже, щоб вимкнути його:

@Configuration
public class RestSecurityConfig extends WebSecurityConfigurerAdapter {
  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable();
  }
}

Якщо ви хочете, щоб захист CSRF залишався ввімкненим, вам слід включити у вашу форму файл csrftoken . Ви можете зробити це так:

<form .... >
  ....other fields here....
  <input type="hidden"  name="${_csrf.parameterName}"   value="${_csrf.token}"/>
</form>

Ви навіть можете включити маркер CSRF до дії форми:

<form action="./upload?${_csrf.parameterName}=${_csrf.token}" method="post" enctype="multipart/form-data">

Question 3

Чи не слід додати до форми входу ?;

<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>

Як зазначено тут у весняній документації щодо безпеки

Question 4

Якщо ви подаєте заявку, security="none"то жоден маркер csrf не буде створений. Сторінка не буде проходити через фільтр безпеки. Використовуйте роль ANONYMOUS.

Я не вдався в подробиці, але це працює для мене.

 <http auto-config="true" use-expressions="true">
   <intercept-url pattern="/login.jsp" access="hasRole('ANONYMOUS')" />
   <!-- you configuration -->
   </http>

Question 5

Спробуйте змінити: <csrf /> до цього: <csrf disabled="true"/>. Він повинен відключити csfr.

Question 6

За допомогою чебрецю ви можете додати:

<input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}"/>

Question 7

Весняна документація для вимкнення csrf: https://docs.spring.io/spring-security/site/docs/current/reference/html/csrf.html#csrf-configure

@EnableWebSecurity
public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {

   @Override
   protected void configure(HttpSecurity http) throws Exception {
      http.csrf().disable();
   }
}

Question 8

Раніше у мене була та сама проблема.

Ваша конфігурація використовує security = "none", тому не може генерувати _csrf:

<http pattern="/login.jsp" security="none"/>

Ви можете встановити доступ = "IS_AUTHENTICATED_ANONYMOUSLY" для сторінки /login.jsp замінити вище config:

<http>
    <intercept-url pattern="/login.jsp*" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
    <intercept-url pattern="/**" access="ROLE_USER"/>
    <form-login login-page="/login.jsp"
            authentication-failure-url="/login.jsp?error=1"
            default-target-url="/index.jsp"/>
    <logout/>
    <csrf />
</http>

Question 9

я думаю, що csrf працює лише з весняними формами

<%@ taglib prefix="form" uri="http://www.springframework.org/tags/form" %>

змінити на form:formтег і побачити, що він працює.

Question 10

Будь ласка, перегляньте мій робочий зразок програми на Github і порівняйте з вашим налаштуванням.

Question 11

Жодне з рішень не спрацювало у мене. Єдиний, який працював у мене у весняному вигляді:

action = "./ upload? $ {_ csrf.parameterName} = $ {_ csrf.token}"

ЗАМЕНЕНО НА:

action = "./ upload? _csrf = $ {_ csrf.token}"

(Spring 5 з увімкненим CSRF у конфігурації Java)

Question 12

Додайте у свій контролер таке:

@RequestParam(value = "_csrf", required = false) String csrf

І на jsp-сторінці додайте

<form:form modelAttribute="someName" action="someURI?${_csrf.parameterName}=${_csrf.token}