当网关服务器受csrf保护且请求内容类型为application/x-www-form-urlencoded时,spring网关服务器失败

vd2z7a6w  于 2021-07-13  发布在  Java
关注(0)|答案(0)|浏览(377)

当网关服务器受csrf保护且请求内容类型为application/x-www-form-urlencoded时,spring网关服务器无法从upsteam服务器获得响应

有两个简单的服务器。

第一个是网关服务器。

这是唯一的进口网关和安全。

  1. <dependency>
  2.     <groupId>org.springframework.boot</groupId>
  3.     <artifactId>spring-boot-starter-security</artifactId>
  4. </dependency>
  5. <dependency>
  6.     <groupId>org.springframework.cloud</groupId>
  7.     <artifactId>spring-cloud-starter-gateway</artifactId>
  8. </dependency>

就像这样的安全配置。它们非常简单。所以我把它们写在同一个班上

  1. @SpringBootApplication
  2. public class GatewayApplication {
  4.     public static void main(String[] args) {
  5.         SpringApplication.run(GatewayApplication.class, args);
  6.     }
  7.     @Bean
  8.     public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) {
  9.         http.authorizeExchange().anyExchange().permitAll();
  10.         http.csrf().csrfTokenRepository(CookieServerCsrfTokenRepository.withHttpOnlyFalse());
  11.         return http.build();
  12.     }
  13.     /**
  14.      * add csrf cookie response on every response
  15.      * @return
  16.      */
  17.     @Bean
  18.     public WebFilter addCsrfTokenFilter() {
  19.         return (exchange, next) -> Mono.just(exchange)
  20.                 .flatMap(ex -> ex.<Mono<CsrfToken>>getAttribute(CsrfToken.class.getName()))
  21.                 .doOnNext(ex -> {
  22.                 })
  23.                 .then(next.filter(exchange));
  24.     }
  25. }

网关路由

  1. spring:
  2.   cloud:
  3.     gateway:
  4.       routes:
  5.         - id: test
  6.           uri: http://localhost:8888
  7.           predicates:
  8.             - Path=/test/**
  9.           filters:
  10.             - StripPrefix=1

第二个是上游服务器

它是一个简单的web服务器

  1. @SpringBootApplication
  2. @RestController
  3. public class UpstreamApplication {
  5.     @PostMapping("/test")
  6.     public String postData(Dto dto) {
  7.         return "post success";
  8.     }
  10.     public static void main(String[] args) {
  11.         SpringApplication.run(UpstreamApplication.class, args);
  12.     }
  14. }

dto类有两个属性a和b

  1. public class Dto {
  2.     private String a;
  3.     private String b;
  5.     public String getA() {
  6.         return a;
  7.     }
  9.     public void setA(String a) {
  10.         this.a = a;
  11.     }
  13.     public String getB() {
  14.         return b;
  15.     }
  17.     public void setB(String b) {
  18.         this.b = b;
  19.     }
  20. }

我在8888端口配置服务器

  1. server:
  2.   port: 8888

然后,我用 Postman 来测试他们。第一次,我没有csrf值。

  1. curl --location --request POST 'http://localhost:8080/test/test' \
  2. --header 'Content-Type: application/x-www-form-urlencoded' \
  3. --data-urlencode 'a=1' \
  4. --data-urlencode 'b=2'

服务器响应无效csrf令牌异常。然后我从cookie值中得到csrf令牌值。然后我用csrf头发送请求。

  1. curl --location --request POST 'http://localhost:8080/test/test' \
  2. --header 'X-XSRF-TOKEN: f8db31f3-8be6-4103-8e15-5ef4594a08f0' \
  3. --header 'Content-Type: application/x-www-form-urlencoded' \
  4. --header 'Cookie: XSRF-TOKEN=f8db31f3-8be6-4103-8e15-5ef4594a08f0' \
  5. --data-urlencode 'a=1' \
  6. --data-urlencode 'b=2'

客户端等待响应超过3分钟,但未完成。
我测试的其他内容类型,他们完成正常。
如果上游服务器的函数params为空或客户端请求params为空。它可以完成。
测试项目在这里https://github.com/ldwqh0/spring_gateway_csrf_bug

springsecuritycloudcsrf

暂无答案!

目前还没有任何答案,快来回答吧!

我来回答

相关问题

    查看更多

    热门标签

    更多
    JavaquerypythonNode开发语言requestUtil数据库Table后端算法LoggerMessageElementParser

    最新问答

    更多
    • 蜀ICP备13028337号-1 大数据知识库 https://www.saoniuhuo.com © All rights reserved
    • 本站内容来源互联网,如果侵犯您的权益请联系我们删除, 联系方式:448109455@qq.com