如何从 Postman REST 客户端发送 spring csrf 令牌？

Question

我在 spring 框架中有 csrf 保护。因此，在每个请求中，我都会从 ajax 调用的标头中发送 csrf 令牌，这非常有效。

<meta name="_csrf" content="${_csrf.token}"/>
<meta name="_csrf_header" content="${_csrf.headerName}"/>

var token = $("meta[name='_csrf']").attr("content");
var header = $("meta[name='_csrf_header']").attr("content");

在 ajax 中

beforeSend: function(xhr) {
                xhr.setRequestHeader(header, token),
                xhr.setRequestHeader("username", "xxxx1"),
                xhr.setRequestHeader("password", "password")
            }

我不知道生成 csrf 令牌并包含在 Postman Rest Client 的标题部分中？您能帮我从 Postman Rest Client 发送 csrf 令牌吗？

Answer 1

始终如一地执行此操作的最简单方法，因此您不必每次都获取令牌：

注意：您需要安装 PostMan Interceptor 并激活它才能访问浏览器 cookie

1. 创建一个新环境，以便存储环境变量

1. 使用测试创建登录方法以将 XSRF cookie 存储在环境变量中，在测试选项卡中发布此代码

   //Replace XSFR-TOKEN with your cookie name
   var xsrfCookie = postman.getResponseCookie("XSRF-TOKEN");
   postman.setEnvironmentVariable("xsrf-token", xsrfCookie.value);
   

编辑 对于使用 5.5.2 postman 或更高版本的任何人，您还必须解码 cookie，正如@Sacapuces 指出的那样，他们还提供了获取 cookie 的替代方法

pm.environment.set("xsrf-token", decodeURIComponent(pm.cookies.get("XSRF-TOKEN")))

现在您将拥有一个包含 xsrf-token 的环境变量。

1. 保存您的登录方式

2. 创建您要创建的新帖子并在标题中添加您的 XSRF-Token-Header 密钥，并在句柄栏中添加环境变量以访问它{{}}

5. 现在在运行新请求之前，请确保运行登录，它将存储环境变量，然后当您运行实际请求时，它会自动附加它。

Answer 2

我可以按照以下步骤发送带有 csrf 令牌的 REST：

1. 登录时spring security自动生成的CSRF token，会在响应头显示。

2. 通过在标头上设置 X-CSRF-TOKEN 和 CSRF 令牌，可以在后续请求中使用 CSRF 令牌。

Answer 3

首先您需要安装 PostMan Interceptor 并激活它以访问浏览器的 cookie。

1. 您必须通过发出 GET 请求来获取 CSRF 令牌： 标头：“XSRF-TOKEN”和值：“Fetch”

1234563从换行符中删除令牌中的这个空白字符）

2. 现在发出您的 POST 请求并将标头设置为：标头：“X-XSRF-TOKEN”和值：“您复制的不带空格的令牌”

Answer 4

对我来说，将 X-CSRF-TOKEN 添加到标题中的工作变体。

Answer 5

请将X-CSRF-Token作为键，FETCH作为值在GET请求头中，你将在响应头中收到令牌

Answer 6

如果你不想配置环境变量等，这里是最快的解决方案

https://stackoverflow.com/a/49249850/3705478