Spring Security 6对CSRF防护的默认实现做了调整,很多开发者在迁移项目或者新开发项目时,使用MockMvc编写CSRF相关测试用例会遇到请求被拦截、令牌校验不通过等问题,需要针对性调整测试代码的编写方式。

常见的MockMvc CSRF测试挑战
请求被CSRF过滤器直接拦截
Spring Security 6默认对所有状态变更的请求(POST、PUT、DELETE等)开启CSRF校验,如果测试时没有携带正确的CSRF令牌,请求会直接返回403状态码。很多开发者习惯直接调用MockMvc的post、put方法,没有添加令牌相关配置,就会导致测试失败。
手动添加令牌后校验依然失败
部分开发者尝试手动构造CSRF令牌添加到请求参数或者请求头中,但是因为Spring Security 6的CSRF令牌存储机制变化,手动构造的令牌无法通过校验,测试依然无法通过。
测试代码适配成本高
如果项目中存在大量已有的MockMvc测试用例,迁移到Spring Security 6后需要逐个调整CSRF相关的测试逻辑,工作量较大,还容易遗漏部分用例的适配。
对应的解决方案
使用Spring Security提供的CSRF请求后处理器
Spring Security测试模块提供了SecurityMockMvcRequestPostProcessors.csrf()后处理器,可以自动为MockMvc请求添加合法的CSRF令牌,这是最推荐的解决方式。示例代码如下:
import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.autoconfigure.web.servlet.WebMvcTest;
import org.springframework.security.test.web.servlet.request.SecurityMockMvcRequestPostProcessors;
import org.springframework.test.web.servlet.MockMvc;
import static org.springframework.test.web.servlet.request.MockMvcRequestBuilders.post;
import static org.springframework.test.web.servlet.result.MockMvcResultMatchers.status;
@WebMvcTest
public class UserControllerTest {
@Autowired
private MockMvc mockMvc;
@Test
public void testUpdateUser() throws Exception {
// 使用csrf()后处理器自动添加CSRF令牌
mockMvc.perform(post("/user/update")
.param("userId", "1")
.param("username", "test")
.with(SecurityMockMvcRequestPostProcessors.csrf()))
.andExpect(status().isOk());
}
}
配置测试专用的CSRF忽略规则
如果部分测试场景不需要校验CSRF,可以在测试配置类中临时调整CSRF配置,忽略指定路径的校验。示例配置如下:
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.SecurityFilterChain;
@Configuration
public class TestSecurityConfig {
@Bean
public SecurityFilterChain testFilterChain(HttpSecurity http) throws Exception {
http
.csrf(csrf -> csrf
// 忽略测试路径的CSRF校验
.ignoringRequestMatchers("/test/**")
)
.authorizeHttpRequests(auth -> auth
.anyRequest().permitAll()
);
return http.build();
}
}
批量适配已有测试用例
如果项目中已有大量MockMvc测试用例,不需要逐个添加with(csrf()),可以通过自定义MockMvc的默认配置,全局添加CSRF后处理器。示例代码如下:
import org.junit.jupiter.api.BeforeEach;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.test.web.servlet.setup.SecurityMockMvcConfigurers;
import org.springframework.test.web.servlet.MockMvc;
import org.springframework.test.web.servlet.setup.MockMvcBuilders;
import org.springframework.web.context.WebApplicationContext;
public abstract class BaseMockMvcTest {
@Autowired
private WebApplicationContext context;
protected MockMvc mockMvc;
@BeforeEach
public void setup() {
// 全局配置添加CSRF后处理器,所有请求自动携带CSRF令牌
mockMvc = MockMvcBuilders.webAppContextSetup(context)
.apply(SecurityMockMvcConfigurers.springSecurity())
.defaultRequest(post("/").with(SecurityMockMvcRequestPostProcessors.csrf()))
.defaultRequest(put("/").with(SecurityMockMvcRequestPostProcessors.csrf()))
.defaultRequest(delete("/").with(SecurityMockMvcRequestPostProcessors.csrf()))
.build();
}
}
子类继承该基类后,发起状态变更请求时不需要再手动添加CSRF后处理器,减少重复代码的编写。
注意事项
- CSRF后处理器仅对状态变更请求有效,GET请求不需要添加CSRF令牌,也不需要特殊处理。
- 如果项目中自定义了CSRF令牌的存储方式或者校验逻辑,需要同步调整测试代码中的后处理器配置,确保和正式环境的逻辑一致。
- 不要在生产环境配置中忽略CSRF校验,测试环境的忽略规则仅用于特定测试场景,避免引入安全风险。
Spring_Security_6MockMvcCSRF测试Spring_Test修改时间:2026-06-30 07:36:24