Spring Boot，Freemarker，MVC单元测试，Csrf

Question

我使用Freemarker与Spring Boot并进行mvc单元测试。在我的freemarker模板我对CSRF令牌这样一个隐藏的输入字段：

<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/> 

然后我也有一个MVC单元测试：

 @RunWith(SpringJUnit4ClassRunner.class) 
@SpringApplicationConfiguration(classes = MyApplication.class) 
@WebAppConfiguration 
@ActiveProfiles("test") 
public class MvcTests { 

    @Autowired 
    WebApplicationContext ctx; 

    MockMvc mvc; 

    HttpSessionCsrfTokenRepository httpSessionCsrfTokenRepository; 

    @Before 
    public void setUp() throws Exception { 
     mvc = webAppContextSetup(ctx).build(); 
     httpSessionCsrfTokenRepository = new HttpSessionCsrfTokenRepository(); 
    } 


    @Test 
    public void testInValidVoucherNumber() throws Exception { 
     CsrfToken csrfToken = httpSessionCsrfTokenRepository.generateToken(new MockHttpServletRequest()); 
     mvc.perform(post("/voucher/claim") 
       .sessionAttr("_csrf.parameterName", "_csrf") 
       .sessionAttr("_csrf.token", csrfToken.getToken()) 
       .contentType(MediaType.APPLICATION_FORM_URLENCODED) 
       .param("code", "ABC") 
       .param("_csrf", csrfToken.getToken())) 
       .andExpect(status().isOk()) 
       .andExpect(view().name("claim-voucher")) 
       .andExpect(content().string(containsString("Code is invalid"))); 
    } 
} 

当我运行单元测试，我得到以下的freemarker错误：

testInValidVoucherNumber(MvcTests) Time elapsed: 0.904 sec <<< ERROR! 
org.springframework.web.util.NestedServletException: Request processing failed; nested exception is freemarker.core.InvalidReferenceException: The following has evaluated to null or missing: 
==> _csrf [in template "claim-voucher.ftl" at line 25, column 34] 

---- 
Tip: If the failing expression is known to be legally refer to something that's null or missing, either specify a default value like myOptionalVar!myDefault, or use <#if myOptionalVar??>when-present<#else>when-missing</#if>. (These only cover the last step of the expression; to cover the whole expression, use parenthesis: (myOptionalVar.foo)!myDefault, (myOptionalVar.foo)?? 
---- 

---- 
FTL stack trace ("~" means nesting-related): 
    - Failed at: ${_csrf.parameterName} [in template "claim-voucher.ftl" at line 25, column 32] 
    ~ Reached through: #nested [in template "layout.ftl" in macro "basic" at line 16, column 9] 

这里是控制器：

@RequestMapping(value = "/voucher/claim", method = RequestMethod.POST) 
public String checkVoucherCode(@Valid ClaimVoucherForm claimVoucherForm, Model model) { 
    //Business logic 
} 

似乎freemarker无法访问csrf parameterName和csrf标记。有没有办法在不改变控制器的情况下包含csrf信息，或者单元测试是否存在问题？

Answer 1

相反的：

.sessionAttr("_csrf.parameterName", "_csrf") 
.sessionAttr("_csrf.token", csrfToken.getToken()) 

尝试：

.sessionAttr("_csrf", csrfToken) 

当你写${_csrf.parameterName}，FreeMarker的外观为模型变量“_csrf”上的字段“parameterName”。不适用于模型变量“_csrf.parameterName”。

也就是说，奇怪的是，您必须在测试中将这些参数添加为会话属性。 Spring Security的CsrfFilter不应该为你做这件事吗？

Answer 2

会话属性在模型中可用，前缀为Session.。您的模板需要更新为如下所示：

<input type="hidden" name="${Session._csrf.parameterName}" value="${Session._csrf.token}"/> 

您还在测试中错误地配置会话属性。 _csrf.token表示Freemarker将查找名为_csrf的对象，然后在该对象上查找名为token的属性。你需要指定一个名为_csrf包含parameterName和token一个会话属性：

Map<String, Object> csrf = new HashMap<String, Object>(); 
csrf.put("parameterName", "_csrf"); 
csrf.put("token", csrfToken.getToken()); 
mvc.perform(post("/voucher/claim") 
      .sessionAttr("_csrf", csrf) 

Answer 3

我解决了使用

@Import({CsrfFilter.class, HttpSessionCsrfTokenRepository.class}) 

在我的测试类的顶部，而无需使用任何.sessionAttr()调用了同样的问题。