Jquery POST donnant 403 forbidden erreur dans spring mvc

Je veux faire un appel ajax à l'aide de $.POST. Mais j'obtiens une erreur 403. Mais OBTENIR fonctionne parfaitement bien. Mon code est:

var url = "/xyz/abc/subscribe?name="+name;
$.post(url, function(data){
    alert(data);
});

Le contrôleur de code est :

@RequestMapping(value = "/xyz/abc/subscribe", method = RequestMethod.POST)
public @ResponseBody
    String subscribe(@RequestParam("name") String name)
        throws Exception {
    String message = "TESTING";
    return message;
}

Mais j'obtiens une erreur 403.

  • Avez-vous une erreur dans les journaux du serveur d'applications?
  • Non...je n'ai trouvé aucune erreur.
  • Je suis arriver dans les journaux: org.springframework.de sécurité.d'accès.AccessDeniedException: l'Accès est refusé
  • 403 signifie que le serveur peut correctement authentifier l'utilisateur, mais que l'utilisateur n'a pas les droits nécessaires pour effectuer l'opération sélectionnée. Êtes-vous à l'aide de Printemps de sécurité? Si donc, après la configuration correspondante
  • J'ai eu la même erreur et ce n'est pas encore résolu stackoverflow.com/questions/25800657/...
InformationsquelleAutor user3729782 | 2014-08-06
  1. 77

    À l'aide de Printemps de Sécurité avec Java configuration, protection CSRF est activé par défaut.
    Dans ce contexte, si vous faites une requête Ajax à un point de terminaison REST à l'aide de la méthode POST, vous obtiendrez un jeton csrf erreur manquant.

    Pour résoudre ce problème, il y a deux options:

    Option 1: Désactiver csrf

    @Override
protected void configure (HttpSecurity http) throws Exception {
    http.csrf().disable();
}

    Option 2: Ajouter csrf de la requête ajax. Voir ici

    • Génial! Merci man!
    • @Override de configure suppose que votre contrôleur est une sous-classe de ce type/classe?
    • Une sous-classe de org.springframework.de sécurité.config.annotation.web.la configuration.WebSecurityConfigurerAdapter
    • Faut avoir le coup d'œil à ceci:- 16.3 Lors de l'utilisation de la protection CSRF Quand devez-vous utiliser la protection CSRF? Notre recommandation est d'utiliser la protection CSRF pour toute demande qui pourrait être traitée par un navigateur par l'utilisateur normal. Si vous êtes seulement à la création d'un service qui est utilisé par les non-clients de navigateur, vous voudrez probablement désactiver la protection CSRF. SRC: docs.printemps.io/printemps-sécurité/site/docs/current/reference/html/...
    • Check this out : stackoverflow.com/questions/27834867/... pour savoir comment mettre le jeton csrf grâce à jquery-ajax.
    • Important de souligner que l'Option 1. n'est pas recommandé car il peut être risqué.
    • J'ai écrit un POST demande de l'aide requests bibliothèque en Python, et le GET méthode a fonctionné, alors que POST ne pas. La désactivation de la protection CSRF résolu le problème. Merci!!!!
    • Génial réponse, merci

    InformationsquelleAutor Emiliano Schiano
  2. 8

    Vous voudrez peut-être ajouter le jeton csrf de la demande.

    Obtenir le jeton à l'aide de JSTL devrait être assez simple. Si vous utilisez Thymeleaf, voici comment l'obtenir.

    <script th:inline="javascript">
    /*<![CDATA[*/
    var _csrf_token = /*[[${_csrf.token}]]*/ '';
    var _csrf_param_name = /*[[${_csrf.parameterName}]]*/ '';
    /*]]>*/
</script>

    Ajoutez-le ensuite à votre demande:

    var requestData = {
    'paramA': paramA,
    'paramB': paramB,
};
requestData[_csrf_param_name] = _csrf_token; //Adds the token

$.ajax({
    type: 'POST',
    url: '...your url...',
    data: requestData,
    ...
});

    Si tout va bien, la demande doit inclure quelque chose comme
    _csrf:1556bced-b323-4a23-ba1d-5d15428d29fa (le jeton csrf) et vous obtiendrez un 200 au lieu de 403.

    InformationsquelleAutor izilotti
  3. 1

    Ceci est un exemple de sans désactiver CSRF.

    Étape 1: Dans votre en-tête ajouter CSRF comme ce

    <meta th:name="${_csrf.parameterName}" th:content="${_csrf.token}"/>

    Étape 2: Faire appel avec un jeton

    $( "#create_something" ).click(function() {

  var token = $("meta[name='_csrf']").attr("content");

  $.ajax({
    url : '/xxxxxxxxxxxx', //url to make request
    headers: {"X-CSRF-TOKEN": token}, //send CSRF token in header
    type : 'POST',
    success : function(result) {
        alert(result);
    }
  })
});
    InformationsquelleAutor VK321
  4. 0

    Si vous regardez à CSRFilter code source, vous verrez que le filtre est en attente pour csrfToken sur l'en-tête ou le paramètre de requête.
    Dans ma configuration, la touche "_csrf" a la bonne clé en paramètre de requête.
    Donc, j'ai ajouté ce paramètre dans mon post d'appel.

    HTML:

          var csrfCookie = getCsrfCookie();
    		alert(csrfCookie);
    		
    	function getCsrfCookie()
    	{
    		var ret = "";
    		var tab = document.cookie.split(";");
    		
    		if(tab.length>0){
    			var tab1 = tab[0].split("=");
    			if(tab1.length>1)
    			{
    				ret =tab1[1];
    			}
    		}
    		return ret;
    	}
    	
    	$http.post('/testPost?_csrf='+csrfCookie).success(function (response) {
             alert("post : "+response);
              return response;
          });

    Cela fonctionne pour moi.

    InformationsquelleAutor BenoitJ
  5. -3

    Que vous essayez de faire une requête POST à un point de terminaison REST vous n'êtes pas autorisé à. Votre session est devenu invalide, ou l'utilisateur que vous êtes connecté en tant n'a pas l'autorité comme @geoand déjà souligné.

    InformationsquelleAutor Patrick Grimard