gpt4 book ai didi

spring-security - Spring Cloud Netflix Zuul、CSRF 和表单提交

转载 作者:行者123 更新时间:2023-12-04 06:59:49 24 4
gpt4 key购买 nike

我在 Spring Cloud 和 CSRF 保护方面遇到了一些问题。
我使用 Spring Cloud Security、OAuth2 等保护了我的应用程序(网关和注册服务)。

我授予每个人 (permitAll) 对/signup 的访问权限,这是网关路由到实际注册服务的地方。我还授予了对注册服务器本身的所有人的访问权限。这按预期工作。

让我头疼的是CSRF保护。网关和注册服务都自己创建了一个 CSRF token 。来自网关的 token 将被发送到客户端,并且来自注册服务的 token 丢失(在网关的某处)。

如果我向注册服务发布一些内容,CSRF 保护就会启动并说 token 为空,或者实际值与预期值不匹配,如果我尝试重用来自网关的值,该值在 HTTP 中可用标题。

我已经在注册服务上禁用 CSRF,但它似乎不是正确的解决方案,因为它仅在有人从客户端发回 token 时才有效,例如 Angular SPA。当我尝试从浏览器提交表单(在注册服务上呈现)时,由于缺少 _csrf 参数而失败。
如果我在注册服务上激活 CSRF 并将 _csrf 参数添加到表单中,网关的 CSRF 保护就会启动并说实际 token 与预期的不匹配,这是绝对正确的,因为实际 token 是一个来自注册服务,预期的 token 来自网关。

我可以在网关上禁用 CSRF,但这将导致我必须在 REST 客户端或 SPA 使用的每个服务上配置 CSRF 内容。

我已经在 HttpSecurity.csrf() 配置中尝试了 ignoreAntMatchers() ,我可以在其中排除特定路径,但这对我也没有帮助。期望值是完全不同的东西。似乎为 POST 请求创建了一个新 session 。

那么我有没有机会在网关上使用 CSRF 并同时使用表单提交和 Zuul 的注册服务?

最佳答案

你应该能够让它工作:我认为应该在 Zuul 中禁用 CSRF,并且 Zuul 应该从服务转发原始 CSRF token 。

您是否尝试设置自定义“敏感标题”以避免丢失 token ?由于默认配置是删除任何“Cookie”和“Set-Cookie” header ,因此您需要对其进行更改:

zuul:
routes:
users:
path: /myusers/**
# This is the default value if not set
sensitiveHeaders: Cookie,Set-Cookie,Authorization
url: https://downstream

变成
zuul:
routes:
users:
path: /myusers/**
sensitiveHeaders: Authorization
url: https://downstream

关于spring-security - Spring Cloud Netflix Zuul、CSRF 和表单提交,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37555985/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com