1、问题

​ 开启 csrf 后 列表页面没有数据

​ 页面console.log(403)

HTTP Status 403－Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.

2、科普

​ 首先，科普一下，什么是"CSRF"?

​ 这是一个web应用安全的问题，CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack” 或者Session Riding，***方通过伪造用户请求访问受信任站点。

客户端与服务端在基于http协议在交互的数据的时候，由于http协议本身是无状态协议，后来引进了cookie的 方式进行记录服务端和客户端的之间交互的状态和标记。cookie里面一般会放置服务端生成的session id（会话ID）用来识别客户端访问服务端过 程中的客户端的身份标记。

​ 再科普一下，什么事"跨域" ？

​ 同一个ip、同一个网络协议、同一个端口，三者都满足就是同一个域，否则就有跨域问题 ，在跨域 的情况下 session id可能会被恶意第三方劫持，此时劫持这个session id的第三方会根据这个session id向服务器发起请求，此时服务器收到这个请求会 认为这是合法的请求，并返回根据请求完成相应的服务端更新。

3、spring security 中的几个关键点

​ 1）如果这个http请求是通过get方式发起的请求，意味着它只是访问服务器 的资源，仅仅只是查询，没有更新服务器的资源，所以对于这类请求，spring security的防御策略是允许的；

​ 2）如果这个http请求是通过post请求发起的， 那么spring security是默认拦截这类请求的，因为这类请求是带有更新服务器资源的危险操作，如果恶意第三方可以通过劫持session id来更新 服务器资源，那会造成服务器数据被非法的篡改，所以这类请求是会被Spring security拦截的，在默认的情况下，spring security是启用csrf 拦截功能的，这会造成，在跨域的情况下，post方式提交的请求都会被拦截无法被处理（包括合理的post请求），前端发起的post请求后端无法正常 处理，虽然保证了跨域的安全性，但影响了正常的使用，如果关闭csrf防护功能，虽然可以正常处理post请求，但是无法防范通过劫持session id的非法的post请求，所以spring security为了正确的区别合法的post请求，采用了token的机制 。

​ 3）我在科普下：spring Security 3默认关闭csrf，Spring Security 4默认启动了csrf

​ 4）如果不采用csrf，可禁用security的csrf ，如下

@Override
protected void configure(HttpSecurity http) throws Exception {http.authorizeRequests()……………….csrf().disable();}

## 4、重点解决问题 

我想开启且有效，如下配置：

JAVA配置端该怎么做

@Override
protected void configure(HttpSecurity http) throws Exception {http.authorizeRequests()……………….csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());}

###H5端怎么做

说明下网上方法大致有三种，我这里结合我们自己的平台（SpringBoot[v1.5.12]+SpringSecurity[v4.2.5]+ Thymeleaf[v2.1.3]）是这么做的

//全局index页面 不需要每个页面 都写
<meta name="_csrf_parameter" th:content="${_csrf.parameterName}" th:if="${_csrf}" />
<meta name="_csrf_header" th:content="${_csrf.headerName}" th:if="${_csrf}" />
<meta name="_csrf" th:content="${_csrf.token}" th:if="${_csrf}" />

var token = $("meta[name='_csrf']").attr("content");
var header = $("meta[name='_csrf_header']").attr("content");
$(document).ajaxSend(function(e, xhr, options) {xhr.setRequestHeader(header, token);}); 

单独AJAX提交思考局部刷新

var headers = {};headers['X-CSRF-TOKEN'] = "[[${_csrf.token}]]"; //参数headers: headers