Un jeton CSRF non valide «null» a été trouvé sur le paramètre de demande «_csrf» ou l'en-tête «X-CSRF-TOKEN»

Question 1

Après avoir configuré Spring Security 3.2, _csrf.tokenn'est pas lié à une demande ou à un objet de session.

Voici la configuration de sécurité du printemps:

<http pattern="/login.jsp" security="none"/>

<http>
    <intercept-url pattern="/**" access="ROLE_USER"/>
    <form-login login-page="/login.jsp"
                authentication-failure-url="/login.jsp?error=1"
                default-target-url="/index.jsp"/>
    <logout/>
    <csrf />
</http>

<authentication-manager>
    <authentication-provider>
        <user-service>
            <user name="test" password="test" authorities="ROLE_USER/>
        </user-service>
    </authentication-provider>
</authentication-manager>

Le fichier login.jsp

<form name="f" action="${contextPath}/j_spring_security_check" method="post" >
    <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
    <button id="ingresarButton"
            name="submit"
            type="submit"
            class="right"
            style="margin-right: 10px;">Ingresar</button>
    <span>
        <label for="usuario">Usuario :</label>
        <input type="text" name="j_username" id="u" class="" value=''/>
    </span>
    <span>
        <label for="clave">Contrase&ntilde;a :</label>

        <input type="password"
               name="j_password"
               id="p"
               class=""
               onfocus="vc_psfocus = 1;"
               value="">
    </span>
</form>

Et il rend le prochain HTML:

<input type="hidden" name="" value="" />

Le résultat est un état HTTP 403:

Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.

UPDATE Après un certain débogage, l'objet de requête sort correctement DelegatingFilterProxy, mais dans la ligne 469 de CoyoteAdapter, il exécute request.recycle (); qui efface tous les attributs ...

Je teste dans Tomcat 6.0.36, 7.0.50 avec JDK 1.7.

Je n'ai pas compris ce comportement, plutôt que, ce serait possible si quelqu'un me dirigeait vers une guerre d'exemples d'application avec Spring Security 3.2 qui fonctionne avec CSRF.

Question 2

Il semble que la protection CSRF (Cross Site Request Forgery) de votre application Spring soit activée. En fait, il est activé par défaut.

Selon spring.io :

Quand devriez-vous utiliser la protection CSRF? Notre recommandation est d'utiliser la protection CSRF pour toute demande qui pourrait être traitée par un navigateur par des utilisateurs normaux. Si vous créez uniquement un service utilisé par des clients autres que des navigateurs, vous souhaiterez probablement désactiver la protection CSRF.

Donc pour le désactiver:

@Configuration
public class RestSecurityConfig extends WebSecurityConfigurerAdapter {
  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable();
  }
}

Si vous souhaitez conserver la protection CSRF activée, vous devez inclure dans votre formulaire le fichier csrftoken. Vous pouvez le faire comme ceci:

<form .... >
  ....other fields here....
  <input type="hidden"  name="${_csrf.parameterName}"   value="${_csrf.token}"/>
</form>

Vous pouvez même inclure le jeton CSRF dans l'action du formulaire:

<form action="./upload?${_csrf.parameterName}=${_csrf.token}" method="post" enctype="multipart/form-data">

Question 3

Ne devriez-vous pas ajouter au formulaire de connexion ?;

<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>

Comme l' indique le ici dans la documentation de sécurité Spring

Question 4

Si vous postulez, security="none"aucun jeton csrf ne sera généré. La page ne passera pas par le filtre de sécurité. Utilisez le rôle ANONYME.

Je ne suis pas entré dans les détails, mais cela fonctionne pour moi.

 <http auto-config="true" use-expressions="true">
   <intercept-url pattern="/login.jsp" access="hasRole('ANONYMOUS')" />
   <!-- you configuration -->
   </http>

Question 5

Essayez de changer ceci: <csrf /> à ceci: <csrf disabled="true"/>. Il devrait désactiver csfr.

Question 6

Avec thymeleaf vous pouvez ajouter:

<input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}"/>

Question 7

Documentation Spring pour désactiver csrf: https://docs.spring.io/spring-security/site/docs/current/reference/html/csrf.html#csrf-configure

@EnableWebSecurity
public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {

   @Override
   protected void configure(HttpSecurity http) throws Exception {
      http.csrf().disable();
   }
}

Question 8

J'ai déjà eu le même problème.

Votre configuration utilise security = "none" et ne peut donc pas générer _csrf:

<http pattern="/login.jsp" security="none"/>

vous pouvez définir access = "IS_AUTHENTICATED_ANONYMOUSLY" pour la page /login.jsp remplacer la configuration ci-dessus ：

<http>
    <intercept-url pattern="/login.jsp*" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
    <intercept-url pattern="/**" access="ROLE_USER"/>
    <form-login login-page="/login.jsp"
            authentication-failure-url="/login.jsp?error=1"
            default-target-url="/index.jsp"/>
    <logout/>
    <csrf />
</http>

Question 9

je pense que csrf ne fonctionne qu'avec les formes à ressort

<%@ taglib prefix="form" uri="http://www.springframework.org/tags/form" %>

changez en form:formtag et voyez cela qui fonctionne.

Question 10

Veuillez consulter mon exemple d'application de travail sur Github et comparer avec votre configuration.

Question 11

Aucune des solutions n'a fonctionné de moi. Le seul qui a fonctionné pour moi sous forme de printemps est:

action = "./ upload? $ {_ csrf.parameterName} = $ {_ csrf.token}"

REMPLACÉ PAR:

action = "./ upload? _csrf = $ {_ csrf.token}"

(Spring 5 avec csrf activé dans la configuration java)

Question 12

Dans votre contrôleur, ajoutez ce qui suit:

@RequestParam(value = "_csrf", required = false) String csrf

Et sur la page jsp, ajoutez

<form:form modelAttribute="someName" action="someURI?${_csrf.parameterName}=${_csrf.token}

Answer 1

Après avoir configuré Spring Security 3.2, _csrf.tokenn'est pas lié à une demande ou à un objet de session.

Voici la configuration de sécurité du printemps:

<http pattern="/login.jsp" security="none"/>

<http>
    <intercept-url pattern="/**" access="ROLE_USER"/>
    <form-login login-page="/login.jsp"
                authentication-failure-url="/login.jsp?error=1"
                default-target-url="/index.jsp"/>
    <logout/>
    <csrf />
</http>

<authentication-manager>
    <authentication-provider>
        <user-service>
            <user name="test" password="test" authorities="ROLE_USER/>
        </user-service>
    </authentication-provider>
</authentication-manager>

Le fichier login.jsp

<form name="f" action="${contextPath}/j_spring_security_check" method="post" >
    <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
    <button id="ingresarButton"
            name="submit"
            type="submit"
            class="right"
            style="margin-right: 10px;">Ingresar</button>
    <span>
        <label for="usuario">Usuario :</label>
        <input type="text" name="j_username" id="u" class="" value=''/>
    </span>
    <span>
        <label for="clave">Contrase&ntilde;a :</label>

        <input type="password"
               name="j_password"
               id="p"
               class=""
               onfocus="vc_psfocus = 1;"
               value="">
    </span>
</form>

Et il rend le prochain HTML:

<input type="hidden" name="" value="" />

Le résultat est un état HTTP 403:

Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.

UPDATE Après un certain débogage, l'objet de requête sort correctement DelegatingFilterProxy, mais dans la ligne 469 de CoyoteAdapter, il exécute request.recycle (); qui efface tous les attributs ...

Je teste dans Tomcat 6.0.36, 7.0.50 avec JDK 1.7.

Je n'ai pas compris ce comportement, plutôt que, ce serait possible si quelqu'un me dirigeait vers une guerre d'exemples d'application avec Spring Security 3.2 qui fonctionne avec CSRF.

Answer 2

1

Quelle version de printemps utilisez-vous? Cette même chose fonctionne pour moi (il y a cependant des différences dans spring-security.xml) avec Spring 4.0.0 RELEASE (GA), Spring Security 3.2.0 RELEASE (GA) (bien qu'il soit intégré à Struts 2.3.16. Je ne lui ai pas donné de essayez avec Spring MVC seul). Il échoue cependant, lorsque la demande est en plusieurs parties pour télécharger des fichiers avec le statut 403. J'ai du mal à trouver une solution pour cela.

Minuscule

Answer 3

Spring 3.2.6, Spring Security 3.2.0, le CSRF, le jeton a été ajouté à l'objet de requête http, l'objet de session est le même avec le thread de requête, mais lorsqu'il sort jusqu'à ce qu'il rende le jsp supprime tous les attributs et seulement laissez un attribut ... filter_applied

Hugo Robayo

Answer 4

@Tiny: Avez-vous déjà trouvé une solution au problème en plusieurs parties? J'ai exactement le même problème.

Rob Johansen

Answer 5

1

@AlienBishop: Oui, veuillez consulter cette réponse (elle utilise une combinaison de Spring et Struts). Si vous avez Spring MVC seul, veuillez consulter cette réponse. Il convient de noter que l'ordre des filtres dans web.xmlest crucial. MultipartFilterdoit être déclaré avant springSecurityFilterChain. J'espère que cela pourra aider. Merci.

Minuscule

Answer 6

Il semble que la protection CSRF (Cross Site Request Forgery) de votre application Spring soit activée. En fait, il est activé par défaut.

Selon spring.io :

Quand devriez-vous utiliser la protection CSRF? Notre recommandation est d'utiliser la protection CSRF pour toute demande qui pourrait être traitée par un navigateur par des utilisateurs normaux. Si vous créez uniquement un service utilisé par des clients autres que des navigateurs, vous souhaiterez probablement désactiver la protection CSRF.

Donc pour le désactiver:

@Configuration
public class RestSecurityConfig extends WebSecurityConfigurerAdapter {
  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable();
  }
}

Si vous souhaitez conserver la protection CSRF activée, vous devez inclure dans votre formulaire le fichier csrftoken. Vous pouvez le faire comme ceci:

<form .... >
  ....other fields here....
  <input type="hidden"  name="${_csrf.parameterName}"   value="${_csrf.token}"/>
</form>

Vous pouvez même inclure le jeton CSRF dans l'action du formulaire:

<form action="./upload?${_csrf.parameterName}=${_csrf.token}" method="post" enctype="multipart/form-data">

Answer 7

2

Cela devrait être accepté comme réponse car il explique non seulement ce qu'il faut faire, mais aussi ce que vous devez considérer avant de faire quelque chose pour arrêter ces erreurs.

Thomas Carlisle

Answer 8

1

Vous pouvez aussi faire.csrf().ignoringAntMatchers("/h2-console/**")

insan-e le

Answer 9

Dans la réponse ci-dessus, évitez d'utiliser le style de paramètre de requête. Si vous faites cela, vous exposez des jetons en public.

Pramod S. Nikam

Answer 10

Ne devriez-vous pas ajouter au formulaire de connexion ?;

<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>

Comme l' indique le ici dans la documentation de sécurité Spring

Answer 11

12

Si vous postulez, security="none"aucun jeton csrf ne sera généré. La page ne passera pas par le filtre de sécurité. Utilisez le rôle ANONYME.

Je ne suis pas entré dans les détails, mais cela fonctionne pour moi.

 <http auto-config="true" use-expressions="true">
   <intercept-url pattern="/login.jsp" access="hasRole('ANONYMOUS')" />
   <!-- you configuration -->
   </http>

Awanish Kumar
la source

J'utilisais security = none et le passage à votre réponse a résolu ce problème. c'est génial thymeleaf ajoute automatiquement le jeton csrf. Merci !

rxx

Answer 12

J'utilisais security = none et le passage à votre réponse a résolu ce problème. c'est génial thymeleaf ajoute automatiquement le jeton csrf. Merci !

rxx

Answer 13

7

Essayez de changer ceci: <csrf /> à ceci: <csrf disabled="true"/>. Il devrait désactiver csfr.

Arkadiusz Gibes
la source

Answer 14

7

Avec thymeleaf vous pouvez ajouter:

<input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}"/>

Lay Leangsros
la source

Answer 15

6

Documentation Spring pour désactiver csrf: https://docs.spring.io/spring-security/site/docs/current/reference/html/csrf.html#csrf-configure

@EnableWebSecurity
public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {

   @Override
   protected void configure(HttpSecurity http) throws Exception {
      http.csrf().disable();
   }
}

Rahul Raj
la source

Ne copiez pas les réponses existantes, s'il vous plaît.

james.garriss

Answer 16

Ne copiez pas les réponses existantes, s'il vous plaît.

james.garriss

Answer 17

J'ai déjà eu le même problème.

Votre configuration utilise security = "none" et ne peut donc pas générer _csrf:

<http pattern="/login.jsp" security="none"/>

vous pouvez définir access = "IS_AUTHENTICATED_ANONYMOUSLY" pour la page /login.jsp remplacer la configuration ci-dessus ：

<http>
    <intercept-url pattern="/login.jsp*" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
    <intercept-url pattern="/**" access="ROLE_USER"/>
    <form-login login-page="/login.jsp"
            authentication-failure-url="/login.jsp?error=1"
            default-target-url="/index.jsp"/>
    <logout/>
    <csrf />
</http>

Answer 18

2

je pense que csrf ne fonctionne qu'avec les formes à ressort

<%@ taglib prefix="form" uri="http://www.springframework.org/tags/form" %>

changez en form:formtag et voyez cela qui fonctionne.

Saurabh Kumar
la source

Vous n'avez pas besoin d'utiliser les formulaires de printemps: docs.spring.io/spring-security/site/docs/3.2.7.RELEASE/…

Bart Swennenhuis

Answer 19

Vous n'avez pas besoin d'utiliser les formulaires de printemps: docs.spring.io/spring-security/site/docs/3.2.7.RELEASE/…

Bart Swennenhuis

Answer 20

1

Veuillez consulter mon exemple d'application de travail sur Github et comparer avec votre configuration.

manish
la source

Je reviendrai au printemps 3.2.6, j'espère que cela fonctionnera sans spring mvc.

Hugo Robayo

Oui, cela devrait fonctionner sans problème car j'ai créé l'exemple d'application à partir de mon application existante qui était sur Spring 3.1.4.

manish

ha ha ha ha ha, super, pour le faire fonctionner, le déclassement n'est pas une solution bhaiya ji @manish

Kuldeep Singh

Answer 21

Je reviendrai au printemps 3.2.6, j'espère que cela fonctionnera sans spring mvc.

Hugo Robayo

Answer 22

Oui, cela devrait fonctionner sans problème car j'ai créé l'exemple d'application à partir de mon application existante qui était sur Spring 3.1.4.

manish

Answer 23

ha ha ha ha ha, super, pour le faire fonctionner, le déclassement n'est pas une solution bhaiya ji @manish

Kuldeep Singh

Answer 24

Aucune des solutions n'a fonctionné de moi. Le seul qui a fonctionné pour moi sous forme de printemps est:

action = "./ upload? $ {_ csrf.parameterName} = $ {_ csrf.token}"

REMPLACÉ PAR:

action = "./ upload? _csrf = $ {_ csrf.token}"

(Spring 5 avec csrf activé dans la configuration java)

Answer 25

Dans votre contrôleur, ajoutez ce qui suit:

@RequestParam(value = "_csrf", required = false) String csrf

Et sur la page jsp, ajoutez

<form:form modelAttribute="someName" action="someURI?${_csrf.parameterName}=${_csrf.token}

Un jeton CSRF non valide «null» a été trouvé sur le paramètre de demande «_csrf» ou l'en-tête «X-CSRF-TOKEN»

Réponses: