Spring security Invalid CSRF Token

@vifelso · Регистрация: 06.11.2014

Студворк — интернет-сервис помощи студентам

Всем привет. Подскажите пожалуйста с чем связана эта ошибка и какие есть способы пофиксить её?
Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'

Любопытный · 01.05.2016, 19:29

Способа 2:
1. Отключить CSRF защиту в Spring Security
2. Корректно передать CSRF token при отправке post запроса

@vifelso · 01.05.2016, 22:14 **[ТС]**

У меня не получается. Я не понимаю где искать эту ошибку? У меня раньше такого не было

Любопытный · 01.05.2016, 22:20

vifelso, покажите страницу, с которой делаете запрос. Запрос через JS отправляете?

@vifelso · 01.05.2016, 22:56 **[ТС]**

Вот страница:

HTML5
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
<?xml version="1.0" encoding="ISO-8859-1" ?>
 
<%@taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c" %>
 
<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="ISO-8859-1"%>
 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
    <link href="" rel="icon" type="image/x-icon" />
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
<title>Login page</title>
<style>
    <%@ include file="css/myCSS.css" %>
.error {
    color: red;
}
</style>
</head>
<body>
<center>
<h1>Login page</h1>
 
<p>
<c:if test="${error == true}">
    <b class="error">Invalid login or password.</b>
</c:if>
</p>
 
<form method="post" action="<c:url value='/j_spring_security_check'/>" >
<table>
<tbody>
<tr>
<td>Login:</td>
<td><input type="text" name="j_username" id="j_username" size="30" maxlength="40"  /></td>
</tr>
<tr>
<td>Password:</td>
<td><input type="password" name="j_password" id="j_password" size="30" maxlength="32" /></td>
</tr>
<tr>
<td></td>
<td><input type="submit" value="Login" /></td>
</tr>
</tbody>
</table>
</form> 
 
<p>
<a href="${pageContext.request.contextPath}/index">Home page</a><br/>
</p>
</center>
</body>
</html>

Добавлено через 55 секунд
Вот секьюрность:

XML
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
    [url]http://www.springframework.org/schema/beans/spring-beans-4.0.xsd[/url]
    [url]http://www.springframework.org/schema/security[/url]
    http://www.springframework.org/schema/security/spring-security.xsd">
    
    <http auto-config="true" use-expressions="true">
 
        <intercept-url pattern="/sec/moderation" access="hasAnyRole('ROLE_ADMIN','ROLE_USER')" />
        <intercept-url pattern="/edit" access="hasRole('ROLE_ADMIN')" />
        <intercept-url pattern="/detail" access="hasAnyRole('ROLE_ADMIN','ROLE_USER')" />
        <intercept-url pattern="/watchAllBugs" access="hasAnyRole('ROLE_ADMIN','ROLE_USER')" />
        <intercept-url pattern="/addBug" access="hasAnyRole('ROLE_ADMIN','ROLE_USER')" />
 
 
 
 
 
        <form-login login-page="/user-login"
            default-target-url="/success-login"
            authentication-failure-url="/error-login" />
        <logout logout-success-url="/index" />
 
    </http>
 
    <authentication-manager>
        <authentication-provider user-service-ref="customUserDetailsService">
            <password-encoder hash="plaintext" />
        </authentication-provider>
    </authentication-manager>
 
 
 
</beans:beans>

Добавлено через 49 секунд
У меня ни связи с бд нету, ничего.

Добавлено через 2 минуты

Сообщение от Любопытный

покажите страницу, с которой делаете запрос. Запрос через JS отправляете?

http запрос

Добавлено через 15 минут
ошибка как-то связана с org.springframework.security.web.Default SecurityFilterChain

Любопытный · 02.05.2016, 08:58

Какая версия Spring Security используется?
Конфигурацию производите через аннотации?

Должно помочь добавление в форму логина этого поля

HTML5
1
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>

Но это костыль, не решающий причину проблемы.

@KEKCoGEN · 02.05.2016, 09:22

vifelso, скорее всего вам алгоритм проверки csrf ненужен, поэтому проще всего его отключить.

в теге http конфига секьюрити добавьте
<csrf disabled="true"/>

И лучше конфигурируйте через аннотации.

@vifelso · 02.05.2016, 10:05 **[ТС]**

Я отключал уже тогда ошибка 404-, секьюрность не работает

Любопытный · 02.05.2016, 10:19

Какая версия Spring Security используется?

@KEKCoGEN · 02.05.2016, 10:33

Сообщение от Любопытный

Какая версия Spring Security используется?

судя по тому что по дефолту включен csrf, 4. До этого он был выключен.

Сообщение от vifelso

тогда ошибка 404-, секьюрность не работает

причем тут 404 и "секьюрность"?

Любопытный · 02.05.2016, 11:04

Сообщение от KEKCoGEN

судя по тому что по дефолту включен csrf, 4. До этого он был выключен.

Точно.
А в форма логина использована для 3го SS.
http://docs.spring.io/spring-s... form-login

@vifelso · 02.05.2016, 12:12 **[ТС]**

4Spring

Добавлено через 1 минуту

Сообщение от KEKCoGEN

причем тут 404 и "секьюрность"?

Когда отключаю csrf , после ввода пароля и логина ошибка 404

Добавлено через 12 минут
логаут не получается

Добавлено через 16 секунд

XML
1
2
3
4
5
6
7
8
<form-login
                username-parameter="j_username"
                password-parameter="j_password"
                login-processing-url="/j_spring_security_check"
                login-page="/user-login"
            default-target-url="/success-login"
            authentication-failure-url="/error-login" />
        <logout logout-success-url="/index" />

Новые блоги и статьи Все статьи Все блоги /
Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .	Thinkpad X220 Tablet — это лучший бюджетный ноутбук для учёбы, точка. Programma_Boinc 23.12.2025 Рецензия / Мнение/ Перевод Нашел на реддите интересную статью под названием The Thinkpad X220 Tablet is the best budget school laptop period . Ниже её машинный перевод. Thinkpad X220 Tablet —. . .	PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.
Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .

@vifelso 1 / 1 / 2 Регистрация: 06.11.2014 Сообщений: 346

	Spring security Invalid CSRF Token 01.05.2016, 18:25. Показов 4411. Ответов 11 Метки нет (Все метки) Всем привет. Подскажите пожалуйста с чем связана эта ошибка и какие есть способы пофиксить её? Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN' 0

Любопытный 149 / 162 / 48 Регистрация: 19.10.2012 Сообщений: 530
	01.05.2016, 19:29
	Способа 2: 1. Отключить CSRF защиту в Spring Security 2. Корректно передать CSRF token при отправке post запроса 1

@vifelso 1 / 1 / 2 Регистрация: 06.11.2014 Сообщений: 346
	01.05.2016, 22:14 [ТС]
	У меня не получается. Я не понимаю где искать эту ошибку? У меня раньше такого не было 0

Любопытный 149 / 162 / 48 Регистрация: 19.10.2012 Сообщений: 530
	01.05.2016, 22:20
	vifelso, покажите страницу, с которой делаете запрос. Запрос через JS отправляете? 0

@KEKCoGEN 2399 / 2224 / 565 Регистрация: 28.12.2010 Сообщений: 8,672
	02.05.2016, 09:22
	vifelso, скорее всего вам алгоритм проверки csrf ненужен, поэтому проще всего его отключить. в теге http конфига секьюрити добавьте <csrf disabled="true"/> И лучше конфигурируйте через аннотации. 1

@vifelso 1 / 1 / 2 Регистрация: 06.11.2014 Сообщений: 346
	02.05.2016, 10:05 [ТС]
	Я отключал уже тогда ошибка 404-, секьюрность не работает 0

Любопытный 149 / 162 / 48 Регистрация: 19.10.2012 Сообщений: 530
	02.05.2016, 10:19
	Какая версия Spring Security используется? 0