【发布时间】:2015-03-04 04:45:31
【问题描述】:
我在jsp文件中有这个表格:
<form:form method="POST" commandName="advertForm" onsubmit="return checkAddress();" enctype="multipart/form-data">
<form:errors path="*" cssClass="errorblock" element="div"/>
<table>
<tr>
<td>Text:</td>
<td><form:input path="advert.text"/></td>
<td><form:errors path="advert.text" cssClass="error"/></td>
</tr>
<table id="fileTable">
<tr>
<td><input name="images[0]" type="file" /></td>
</tr>
<tr>
<td><input name="images[1]" type="file" /></td>
</tr>
</table>
<tr>
<td colspan="1"><a style="text-decoration: none" href="/"><input type="button" value="Cancel"/></a></td>
<td colspan="2"><input type="submit" value="Save"/></td>
</tr>
<input type="hidden"
name="${_csrf.parameterName}"
value="${_csrf.token}" />
</table>
</form:form>
还有这个 AdvertForm 类:
public class AdvertForm {
private Advert advert;
private List<MultipartFile> images;
public Advert getAdvert() {
return advert;
}
public void setAdvert(Advert advert) {
this.advert = advert;
}
public List<MultipartFile> getImages() {
return images;
}
public void setImages(List<MultipartFile> images) {
this.images = images;
}
}
在相应的控制器中我使用这个参数接收数据:
@ModelAttribute("advertForm") AdvertForm advertForm
问题是,当 sping-security.xml 中的 csrf 被禁用时,它可以正常工作 - 我可以在 advertForm.getImages() 中看到选择的文件,但是当我启用 csrf 时,它会停止使用:
Invalid CSRF token found for http://localhost:8080
我尝试通过以下步骤解决此问题:
-
我在 securityFilterChain 之前添加了多部分过滤器:
<filter> <filter-name>MultipartFilter</filter-name> <filter-class>org.springframework.web.multipart.support.MultipartFilter</filter-class> </filter> <filter-mapping> <filter-name>MultipartFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <filter-mapping> <filter-name>encodingFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <filter-mapping> <filter-name>springSecurityFilterChain</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> 我定义了 filterMultipartResolver:
<bean id="filterMultipartResolver" class="org.springframework.web.multipart.commons.CommonsMultipartResolver"> <property name="maxUploadSize" value="100000000" /></bean>
并将其添加到 web.xml:
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>
......,
/WEB-INF/springWebMultipartContext.xml
</param-value>
</context-param>
-
在 Tomcat 7 中启用 CasualMultipartParsing(我使用独立库从 IDE 运行)
ctx.setAllowCasualMultipartParsing(true)
现在表单可以工作了 - 我没有收到任何 csrf 错误。但是当控制器接收到 advertForm 参数时,advertForm.getImages() 返回 null,而 advertForm.getText() 返回用户输入的文本。在日志中我可以看到这一行:
DEBUG CommonsMultipartResolver - Found multipart file [images[0]] of size 3117 bytes with original filename [11111111.txt], stored in memory
我的错误在哪里?
【问题讨论】:
标签: java spring spring-mvc spring-security csrf