將Spring Security升級到3.2.0.RELEASE不再提供Spring中的CSRF標記taglib

Question

我的項目使用Spring Security 3.2.0.RC2，我的JSP使用Spring taglib的form：form標籤自動將CSRF標記插入到我的形式。

升級到Spring Security 3.2.0.RELEASE後，我發現窗體：form標籤不再自動將CSRF標記插入到我的窗體中，並且我現在必須手動將其添加到我的窗體中： <輸入類型= 「隱藏」 名稱= 「$ {_ csrf.parameterName}」 值= 「$ {_ csrf.token}」/ >

有其他人遇到了同樣的問題？如果是這樣，你爲解決方法做了什麼？謝謝。

Answer 1

您需要確保您使用@EnableWebMvcSecurity註釋替代@EnableWebSecurity註釋，如Hello Spring MVC Security Java Config中所述。添加新註釋的原因是要解決SEC-2436。您會注意到添加了SEC-2463以更好地在參考文獻的CSRF部分中對此進行記錄。