shiro 解决crsf
时间: 2023-09-25 08:14:38 浏览: 103
Shiro并不是专门用来解决CSRF(跨站请求伪造)攻击的框架,它主要用于身份认证和授权。但是你可以通过在Shiro的配置类中添加过滤器来处理CSRF攻击。在Shiro的配置类中,你可以添加如下代码来添加一个CSRF过滤器:
```
@Bean
public FilterRegistrationBean csrfFilter() {
FilterRegistrationBean filterRegistration = new FilterRegistrationBean();
String csrfDomains = properties().getProperty("csrf.domains");
if (StringUtils.isNotBlank(csrfDomains)) {
filterRegistration.setFilter(new CsrfFilter(Arrays.asList(csrfDomains.split(","))));
} else {
filterRegistration.setFilter(new CsrfFilter(Collections.<String>emptyList()));
}
filterRegistration.setEnabled(true);
filterRegistration.addUrlPatterns("/*");
return filterRegistration;
}
```
这段代码中,首先获取配置文件中的`csrf.domains`值,然后根据配置文件中的域名信息创建一个CsrfFilter过滤器,并将其添加到过滤器链中。这样,Shiro就能够在请求到达时检查是否存在CSRF攻击。
另外,如果你想关闭Spring Security中的CSRF防御,可以在配置类中添加以下代码:
```
@Override
protected void configure(HttpSecurity http) throws Exception {
// 关闭CSRF攻击防御
http.csrf().disable();
}
```
这样配置后,Spring Security将不再对CSRF进行防御。但请注意,在关闭CSRF防御时,需要确保你的应用程序有其他有效的防御措施来保护免受CSRF攻击的影响。<em>1</em><em>2</em><em>3</em>
#### 引用[.reference_title]
- *1* *2* *3* [记录一次关于shiro中实现CSRF攻击防御的整改过程](https://blog.csdn.net/qq_26848943/article/details/114023239)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item]
[ .reference_list ]
阅读全文