1. 首頁
  2. 問答
  3. 添加CSRF令牌mockmvc和JUnit

添加CSRF令牌mockmvc和JUnit

2016-02-29 97 views
4

我有兩個METAS(我使用thymeleaf)一個觀點:添加CSRF令牌mockmvc和JUnit

<meta name="_csrf" th:content="${_csrf.token}" /> 
    <meta name="_csrf_header" th:content="${_csrf.headerName}" />

在我的測試控制器我這樣做:

HttpSessionCsrfTokenRepository httpSessionCsrfTokenRepository = new HttpSessionCsrfTokenRepository(); 
CsrfToken csrfToken2 = httpSessionCsrfTokenRepository.generateToken(new MockHttpServletRequest()); 

CustomUser user = new CustomUser(); 
user.setName("foo"); 
user.setSurname("fooo"); 
List<GrantedAuthority> grantedAuthorities = new ArrayList<GrantedAuthority>(); 
grantedAuthorities.add(new SimpleGrantedAuthority("role")); 

UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken("foo", "fooo", grantedAuthorities); 
token.setDetails(user);  

MockHttpSession session = new MockHttpSession(); 
session.setAttribute(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY, new MockSecurityContext(token)); 
session.setAttribute("_csrf", csrfToken2); 


this.mockMvc.perform(post("/foo/update") 
      .param("param", "asdfasd") 
      .... 
      .session(session) 
      ) 
     .andExpect(view().name(("foo/detail"))).andExpect(model().hasErrors())

當我運行測試我得到這個錯誤(令牌找不到或爲空):

org.springframework.web.util.NestedServletException:請求 處理失敗;嵌套異常是 org.thymeleaf.exceptions.TemplateProcessingException:Exception 評估SpringEL表達式:「_csrf.token」(layout/default:4)at org.springframework.web.servlet.FrameworkServlet.processRequest(FrameworkServlet.java:979) 在 org.springframework.web.servlet.FrameworkServlet.doPost(FrameworkServlet.java:869) 在javax.servlet.http.HttpServlet.service(HttpServlet.java:707)在 org.springframework.web.servlet.FrameworkServlet 。服務(FrameworkServlet.java:843) 在 org.springframework.test.web.servlet.TestDispatcherServlet.service(TestDispatcherServlet.java:65) 在javax.servlet.http.HttpServlet.service(HttpServlet.java:790)在 org.springframework.mock.web.MockFilterChain $ ServletFilterProxy.doFilter(MockFilterChain.java:167) 在 org.springframework.mock.web.MockFilterChain.doFilter(MockFilterChain.java:134) 在 org.springframework.test .web.servlet.MockMvc.perform(MockMvc.java:144) 在 es.xunta.amtega.axipro.web.controller.SolicitudeControllerSaveTest.testSaveValidator(SolicitudeControllerSaveTest.java:144) 在sun.reflect.NativeMethodAccessorImpl.invoke0(本地方法)在 sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:57) 在 sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43) 在java.lang.reflect中.Method.invoke(Method.java:601)在 org.junit.runners.model.FrameworkMethod $ 1.runReflectiveCall(FrameworkMethod.java:50) 在 org.junit.internal.runners.model.ReflectiveCallable.run(ReflectiveCallable的.java:12) 在 org.junit.runners.model.FrameworkMethod.invokeExplosively(FrameworkMethod.java:47) 在 org.junit.internal.runners.statements.InvokeMethod.evaluate(InvokeMethod.java:17) 在 org.junit.internal.runners.statements.RunBefores.evaluate(RunBefores.java:26) 在 org.springframework.test.context.junit4.statements.RunBeforeTestMethodCallbacks.evaluate(RunBeforeTestMethodCallbacks.java:75) 在 org.springframework.test.context.junit4.statements.RunAfterTestMethodCallbacks.evaluate(RunAfterTestMethodCallbacks.java:86) 在 org.springframework.test.context.junit4.statements.SpringRepeat.evaluate(SpringRepeat.java:70) 在org.junit.runners.ParentRunner.runLeaf(ParentRunner.java:325)在 org.springframework.test.context.junit4.SpringJUnit4ClassRunner.runChild(SpringJUnit4ClassRunner.java:224) 在 org.springframework.test.context.junit4 .SpringJUnit4ClassRunner.runChild(SpringJUnit4ClassRunner.java:83) at org.junit.runners.ParentRunner $ 3.run(ParentRunner.java:290)at org.junit.runners.ParentRunner $ 1.schedule(ParentRunner.java:71)at org.junit.runners.ParentRunner。runChildren(ParentRunner.java:288)在 org.junit.runners.ParentRunner.access $ 000(ParentRunner.java:58)在 org.junit.runners.ParentRunner $ 2.evaluate(ParentRunner.java:268)在 組織。 junit.internal.runners.statements.RunBefores.evaluate(RunBefores.java:26) 在 org.springframework.test.context.junit4.statements.RunBeforeTestClassCallbacks.evaluate(RunBeforeTestClassCallbacks.java:61) 在 org.springframework。 test.context.junit4.statements.RunAfterTestClassCallbacks.evaluate(RunAfterTestClassCallbacks.java:70) at org.junit.runners.ParentRunner.run(ParentRunner.java:363)at org.springframework.test.context.junit4.SpringJUnit4ClassRunner。運行(SpringJUnit4ClassRunner.java:163) 在 org.eclipse.jdt.internal.junit4.runner.JUnit4TestReference.run(JUnit4TestReference.java:50) 在 org.eclipse.jdt.internal.junit.runner.TestExecution.run(TestExecution.java:38) 在 org.eclipse.jdt.internal.junit.runner.RemoteTestRunner.runTests(RemoteTestRunner.java:459) 在 org.eclipse.jdt.internal.junit.runner.RemoteTestRunner.runTests(RemoteTestRunner.java:675) 在 org.eclipse.jdt.internal.junit.runner.RemoteTestRunner.run(RemoteTestRunner.java:382) 在 org.eclipse.jdt.internal.junit.runner.RemoteTestRunner.main(RemoteTestRunner.java:192) 引起通過:org.thymeleaf.exceptions.TemplateProcessingException: 異常評估SpringEL表達: 「_csrf.token」 (佈局/默認:4)在 org.thymeleaf.spring4.expression.SpelVariableExpressionEvaluator.evaluate(SpelVariableExpressionEvaluator.java:161) 在 org.thymeleaf.standard.expression。 VariableExpression.executeVariable(VariableExpression.java:154) 在 org.thymeleaf.standard.expression.SimpleExpression.executeSimple(SimpleExpression.java:59) 在 org.thymeleaf.standard.expression.Expression.execute(Expression.java: 103) at org.thymeleaf.standard.expression.Expression.execute(Expression.java:133) at org.thymeleaf.standard.expression.Expre ssion.execute(Expression.java:120) 在 org.thymeleaf.standard.processor.attr.AbstractStandardSingleAttributeModifierAttrProcessor.getTargetAttributeValue(AbstractStandardSingleAttributeModifierAttrProcessor.java:67) 在 org.thymeleaf.processor.attr.AbstractSingleAttributeModifierAttrProcessor.getModifiedAttributeValues(AbstractSingleAttributeModifierAttrProcessor。的java:59) 在 org.thymeleaf.processor.attr.AbstractAttributeModifierAttrProcessor.processAttribute(AbstractAttributeModifierAttrProcessor.java:62) 在 org.thymeleaf.processor.attr.AbstractAttrProcessor.doProcess(AbstractAttrProcessor.java:87) 在 有機.thymeleaf.processor.AbstractProcessor.process(AbstractProcessor。 java:212) org.thymeleaf.dom.Node.applyNextProcessor(Node.java:1017)at org.thymeleaf.dom.Node.processNode(Node.java:972)at org.thymeleaf.dom.NestableNode。 computeNextChild(NestableNode.java:695) 在 org.thymeleaf.dom.NestableNode.doAdditionalProcess(NestableNode.java:668) 在org.thymeleaf.dom.Node.processNode(Node.java:990)在 org.thymeleaf .dom.NestableNode.computeNextChild(NestableNode.java:695) 在 org.thymeleaf.dom.NestableNode.doAdditionalProcess(NestableNode.java:668) 在org.thymeleaf.dom.Node.processNode(Node.java:990)在 org.thymeleaf.dom.NestableNode.computeNextChild(NestableNode。的java:695) 在 org.thymeleaf.dom.NestableNode.doAdditionalProcess(NestableNode.java:668) 在org.thymeleaf.dom.Node.processNode(Node.java:990)在 org.thymeleaf.dom.Document .process(Document.java:93)在 org.thymeleaf.TemplateEngine.process(TemplateEngine.java:1155)在 org.thymeleaf.TemplateEngine.process(TemplateEngine.java:1060)在 org.thymeleaf.TemplateEngine.process (TemplateEngine.java:1011)在 org.thymeleaf.spring4.view.ThymeleafView.renderFragment(ThymeleafView.java:335) 在 org.thymeleaf.spring4.view.ThymeleafView.render(ThymeleafView.java:190) 在 org.springframework.web.servlet.DispatcherServlet.render( DispatcherServlet.java:1244) 在 org.springframework.test.web.servlet.TestDispatcherServlet.render(TestDispatcherServlet.java:105) 在 org.springframework.web.servlet.DispatcherServlet.processDispatchResult(DispatcherServlet.java:1027) 在 org.springframework.web.servlet.DispatcherServlet.doDispatch(DispatcherServlet.java:971) 在 org.springframework.web.servlet.DispatcherServlet.doService(DispatcherServlet.java:893) 在 org.springframework.web .servlet.FrameworkServlet.processRequest(FrameworkServlet.java:967) ... 40更多原因: org.springframework.expression.spel.SpelEvaluationException: EL1007E:(pos 0):無法在null上找到屬性或字段'標記' org.springframework.expression.spel.ast.PropertyOrFieldReference.readProperty(PropertyOrFieldReference.java:220) at org.springframework.expression。 spel.ast.PropertyOrFieldReference.getValueInternal(PropertyOrFieldReference.java:94) 在 org.springframework.expression.spel.ast.PropertyOrFieldReference.access $ 000(PropertyOrFieldReference.java:46) 在 org.springframework.expression.spel.ast .PropertyOrFieldReference $ AccessorLValue.getValue(PropertyOrFieldReference.java:374) at org.springframework.expression.spel.ast.CompoundExpression.getValueInternal(CompoundExpression.java:88) at org.springframework.expression.spel.ast.SpelNodeImpl.getValue(SpelNodeImpl.java:120) 在 org.springframework.expression.spel.standard.SpelExpression.getValue(SpelExpression.java:267) 在 org.thymeleaf .spring4.expression.SpelVariableExpressionEvaluator.evaluate(SpelVariableExpressionEvaluator.java:139) ...... 73多個

我發現了一個時間的解決方案,但它不是一個很好的解決方案..:

<th:block th:if="${_csrf}"> 
    <meta name="_csrf" th:content="${_csrf.token}" /> 
    <meta name="_csrf_header" th:content="${_csrf.headerName}" /> 
</th:block>

來源

2016-02-29 oscar

回答

6

要訪問會話屬性則需要

th:text="${session._csrf.headerName}"> 
th:text="${session._csrf.token}">

看到spring thymeleaf

如果你在測試中使用MockMvc可以設置CSRF令牌

mvc 
.perform(post("/").with(csrf()))

web security

來源

2016-02-29 19:41:26

+0

我的問題是測試。我得到了csrf令牌來運行應用程序。因爲在JUnit測試中我有這個錯誤。如何在測試中設置de csrf標記?這是個問題。 THKS。 – oscar

+0

我編輯了我的答案... –

+0

我已經找到了這個,但我仍然有同樣的錯誤。謝謝。 – oscar

1

當CSRF選項被激活,春季安全創建具有_csrf對象令牌headerName參數作爲屬性。有兩個地方,你可以在thymeleaf使用CSRF保護:

  • 在標題部分使用標籤。

    <meta name="_csrf" th:content="${_csrf.token}" /> 
<meta name="_csrf_header" th:content="${_csrf.headerName}" />

  • 使用的形式隱藏領域。

    <input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}"/>

SecurityMockMvcRequestPostProcessors.csrf請求處理器的問題是,它僅創建一個字符串參數,沒有性能,這是不與上述代碼thymeleaf兼容:

... 
    request.addHeader(token.getHeaderName(), tokenValue); 
    ... 
    request.setParameter(token.getParameterName(), tokenValue);

我的解決方法是自定義RequestPostProcessor將令牌添加爲請求屬性而不是請求參數:

0在 asHeader如果您使用的是thymeleaf頭選項 

mockMvc.perform(
     get("/security/winsso") 
       .with(CsrfRequestPostProcessor.csrf()) 
       .param("xxx", XXX) 
       .param("yyy", YYY)) 
     .andExpect(status().isOk());

關注: 

package ...; 

    import org.springframework.mock.web.MockHttpServletRequest; 
    import org.springframework.mock.web.MockHttpServletResponse; 
    import org.springframework.security.test.web.support.WebTestUtils; 
    import org.springframework.security.web.csrf.CsrfToken; 
    import org.springframework.security.web.csrf.CsrfTokenRepository; 
    import org.springframework.test.web.servlet.request.RequestPostProcessor; 

    /** 
    * A request post processor to add <em>csrf</em> information. 
    */ 
    public class CsrfRequestPostProcessor implements RequestPostProcessor { 

     private boolean useInvalidToken = false; 

     private boolean asHeader = false; 


     @Override 
     public MockHttpServletRequest postProcessRequest(MockHttpServletRequest request) { 
      CsrfTokenRepository repository = WebTestUtils.getCsrfTokenRepository(request); 
      CsrfToken token = repository.generateToken(request); 
      repository.saveToken(token, request, new MockHttpServletResponse()); 
      String tokenValue = useInvalidToken ? "invalid" + token.getToken() : token 
        .getToken(); 
      if (asHeader) { 
       request.setAttribute(token.getHeaderName(), token); 
      } 
      else { 
       request.setAttribute(token.getParameterName(), token); 
      } 
      return request; 
     } 

     public RequestPostProcessor invalidToken() { 
      this.useInvalidToken = true; 
      return this; 
     } 

     public RequestPostProcessor asHeader() { 
      this.asHeader = true; 
      return this; 
     } 

     public static CsrfRequestPostProcessor csrf() { 
      return new CsrfRequestPostProcessor(); 
     } 
    }

您可以直接在MockMvc使用這個類。

來源

2016-07-25 08:31:07 jmgonet

0

您可以

@RunWith(SpringJUnit4ClassRunner.class) 
@ContextConfiguration 
@WebAppConfiguration 
public class CsrfShowcaseTests { 

    @Autowired 
    private WebApplicationContext context; 

    @Autowired 
    private Filter springSecurityFilterChain; 

    private MockMvc mvc; 

    @Before 
    public void setup() { 
     mvc = MockMvcBuilders 
       .webAppContextSetup(context) 
       .addFilters(springSecurityFilterChain) 
       .build(); 
    } 
@Test 
public void verifiesHomePageLoads() throws Exception { 
    mockMvc.perform(MockMvcRequestBuilders.get("/index")) 
      .andExpect(MockMvcResultMatchers.model().hasNoErrors()) 
      .andExpect(MockMvcResultMatchers.model().attributeExists("word")) 
      .andExpect(MockMvcResultMatchers.model().attributeExists("w")) 
      .andExpect(MockMvcResultMatchers.model().attributeExists("mobil")) 
      .andExpect(MockMvcResultMatchers.view().name("/index")) 
      .andExpect(MockMvcResultMatchers.status().isOk()); 

}

}

thymleaf代碼:

<form id="suggetWord" name="suggetWord" data-th-action="@{/suggest-word(${_csrf.parameterName}=${_csrf.token})}" ></form> 
<form class="mainForm" th:id="word-search" th:name="word-search" data-th-action="@{/word-search(${_csrf.parameterName}=${_csrf.token})}" > </form>

來源

2017-04-14 21:23:51 katsu

相關問題

 相關問題