在spring mvc showcase中使用了CSRF,在home.jsp中 有這樣的標准做法:
<!--
Used for including CSRF token in JSON requests
Also see bottom of this file for adding CSRF token to JQuery AJAX requests
-->
<meta name="_csrf" content="${_csrf.token}"/>
<meta name="_csrf_header" content="${_csrf.headerName}"/>
......
$("meta[name='_csrf']").attr("content");
var token = "hello";
var header = $("meta[name='_csrf_header']").attr("content");
$(document).ajaxSend(function(e, xhr, options) {
xhr.setRequestHeader(header, token);
});
但是我發現,即便我在token中 亂寫一個,或者部分,請求仍然能收到正常響應,請問是我對CSRF理解錯了麼? 如果我亂寫一個,應該返回錯誤才對啊!
ok,自己解決了。
Spring security 默認的org.springframework.security.web.csrf.CsrfFilter 對於HTTP請求有如下的判斷:
private Pattern allowedMethods = Pattern.compile("^(GET|HEAD|TRACE|OPTIONS)$");
因此如果我改成hello之後,必須要通過put或者post請求才能測試的出來。
很多講CSRF原理的文章,使用的是GET來進行舉例,Spring Security的實現上有這樣的不同,導致我查了半天。
