困惑:很奇怪,明明在方法上面配置了RequestMethod.POST,POST表單提交卻返回403狀態碼,可是使用GET方式卻沒問題啊!!!
@RequestMapping(value="***", method = { RequestMethod.POST })
public ModelAndView edit() {
ModelAndView model = new ModelAndView("**");
return model;
}
難道這配置會有問題?!!!!
原因分析:如果是使用的是 Java 代碼配置 Spring Security,那麼 CSRF 保護默認是開啓的,那麼在 POST 方式提交表單的時候就必須驗證 Token,如果沒有,那麼自然也就是 403 沒權限了。
解決方式:這裏主要有兩種解決方式
1) 關閉 CSRF 保護:
@Override
protected void configure (HttpSecurity http) throws Exception {
http.csrf().disable();
}
2) 添加 CSRF
如果是表單提交那麼,可以添加一個隱藏輸入框:
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
如果是 Ajax 提交,那麼可以在提交時將 Token 一起提交:
$.ajax({
type: "POST",
url: "***",
data: {content:content, "${_csrf.parameterName}":"${_csrf.token}"},
error: function() {
},
success:function(data) {
}
});
如果不想在每個 Ajax提交時都帶上這個,那麼也可以這樣,首先在 Header添加 meta:
<html>
<head>
<meta name="_csrf" content="${_csrf.token}"/>
<!-- default header name is X-CSRF-TOKEN -->
<meta name="_csrf_header" content="${_csrf.headerName}"/>
<!-- ... -->
</head>
<!-- ... -->
然後再每次 Ajax 提交前,插入 Token:
$(function () {
var token = $("meta[name='_csrf']").attr("content");
var header = $("meta[name='_csrf_header']").attr("content");
$(document).ajaxSend(function(e, xhr, options) {
xhr.setRequestHeader(header, token);
});
});
這樣在 Ajax 提交時會自動將 token一併提交(在 header 裏,而不是表單數據裏了),那麼也就可以通過驗證了。
以上。
參考鏈接:
http://stackoverflow.com/questions/25159772/jquery-post-giving-403-forbidden-error-in-spring-mvc
http://docs.spring.io/spring-security/site/docs/3.2.x/reference/htmlsingle/#csrf-include-csrf-token-ajax