Spring Security 中使用 ajax 访问被拦截的问题

问题

  正常情况下,使用表单提交不会被拦截,但当换用 ajax 提交的时候会被拦截掉,导致返回 302 错误。

 

原因

  由于 Spring Security 的防 crsf 攻击机制导致的。

 

解决方式

  在页面 <head>标签中加入以下 meta 信息(以下是 Thymeleaf 中例子)。

<meta name="_csrf" th:content="${_csrf.token}"/>
<meta name="_csrf_header" th:content="${_csrf.headerName}"/>

  在 js 中获取上面两个 <meta> 标签的信息,然后将其设置到 ajax 提交的头部信息中(橙色部分代码)。

// 获取 meta 数据
let header = $("meta[name='_csrf_header']").attr("content");
let token = $("meta[name='_csrf']").attr("content");
$.ajax({
    url: "要访问的接口",
    type: "POST",
    dateType: "json",
    data: requestData,
    beforeSend: function (xhr) {
        xhr.setRequestHeader(header, token);
    },
    success: function (data) {
        // 处理正常信息
    },
    error: function (data) {
        // 处理错误信息
    }
});

 

posted on 2020-02-23 12:47  QingXiaxu  阅读(749)  评论(0编辑  收藏  举报

导航