无法验证提供的CSRF令牌，因为在spring security中找不到您的会话

根据spring.io：

什么时候应该使用CSRF保护？我们的建议是对普通用户可以由浏览器处理的任何请求使用CSRF保护。如果您只创建非浏览器客户端使用的服务，则可能需要禁用CSRF保护。

所以要禁用它：

@Configuration
public class RestSecurityConfig extends WebSecurityConfigurerAdapter {
  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable();
  }
}

注意：Java配置默认启用CSRF保护

禁用CSRF保护是个坏主意。

Spring会在每次请求后自动生成一个新的CSRF令牌，您需要将它包含在带有副作用的所有HTTP请求中(PUT, POST, PATCH, DELETE).

在Postman中，您可以在每个请求中使用测试来将CSRF令牌存储在全局中，例如，当使用CookieCsrfTokenRepository时

pm.globals.set("xsrf-token", postman.getResponseCookie("XSRF-TOKEN").value);

然后将其作为标题包含密钥X-XSRF-TOKEN和值{{xsrf-token}}。

试试这个：@Override protected boolean sameOriginDisabled() { return true;}

@Configuration
public class WebSocketSecurityConfig extends AbstractSecurityWebSocketMessageBrokerConfigurer {

    ...

    // Determines if a CSRF token is required for connecting. This protects against remote
    // sites from connecting to the application and being able to read/write data over the
    // connection. The default is false (the token is required).
    @Override
    protected boolean sameOriginDisabled() {
        return true;
    }
}

来源：WebSocket Security: Disable CSRF within WebSockets

获得了与POST方法相同的错误，获得了403 Forbidden“无法验证提供的CSRF令牌，因为找不到您的会话。”

通过在配置中添加@EnableResourceServer注释来探索一段时间后找到解决方案。

Config看起来像那样（spring-boot.version - > 1.4.1.RELEASE，spring-security.version - > 4.1.3.RELEASE，spring.version - > 4.3.4.RELEASE）

@Configuration
@EnableWebSecurity
@EnableResourceServer
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends ResourceServerConfigurerAdapter {

@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
  auth.userDetailsService(inMemoryUserDetailsManager()).passwordEncoder(passwordEncoder());
}

@Override
public void configure(HttpSecurity http) throws Exception {
    http.httpBasic();
    http.sessionManagement().sessionCreationPolicy(STATELESS);
    http.csrf().disable();
    http.authorizeRequests().anyRequest()
            .permitAll();
}

private InMemoryUserDetailsManager inMemoryUserDetailsManager() throws IOException {
    // load custom properties
    Properties properties = new Properties();
    return new InMemoryUserDetailsManager(properties);
}

private PasswordEncoder passwordEncoder() {
    return new TextEncryptorBasedPasswordEncoder(textEncryptor());
}

private TextEncryptor textEncryptor() {
    return new OpenSslCompatibleTextEncryptor();
}

}

当我在不使用HTTP Status 403 - Could not verify the provided CSRF token because your session was not found.选项的情况下进行JS fetch AJAX调用时，我收到此错误消息（credentials: "same-origin"）。

错误的方法

fetch(url)
.then(function (response) { return response.json(); })
.then(function (data) { console.log(data); })

正确的方式

fetch(url, {
    credentials: "same-origin"
})
.then(function (response) { return response.json(); })
.then(function (data) { console.log(data); })

这是一个老问题，但这可能对某人有所帮助。我有类似的问题，这就是我能够解决它的方式。

为了使CSRF能够与REST API一起使用，您需要在每次调用之前通过API获取CSRF令牌并使用该令牌。令牌每次都不同，不能重复使用。

以下是获取CSRF令牌的控制器：

@RequestMapping(value = "/csrf", method = RequestMethod.GET)
    public ResponseEntity<CSRFDTO> getCsrfToken(HttpServletRequest request) {
        CsrfToken csrf = (CsrfToken) request.getAttribute(CsrfToken.class.getName());
        return ResponseEntity.ok(CSRFDTO.builder()
                .headerName(csrf.getHeaderName())
                .token(csrf.getToken())
                .build());
    }

此外，您可以考虑配置Spring应用程序以禁用REST API端点的CSRF。引用我在某处读过的文章：

我非常确定REST端点上的CSRF令牌可以提供额外的保护。因此，在REST端点上启用CSRF保护只会为您的应用程序引入一些无用的代码，我认为应该跳过它。

希望这可以帮助。

我已经通过在我的登录页面中添加最后一个属性来解决它，也许它会帮到你。

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"  isELIgnored="false"%>