如何實現在Spring Security 3.2.Currently它在每個工作階段。這一處理每個請求的CSRF是必須的要求CSRF令牌春季安全
請後,需要進行修改。
在securitycontext.xml<http>
<csrf />
</http>
,並給出應用正在與令牌每節
如何實現在Spring Security 3.2.Currently它在每個工作階段。這一處理每個請求的CSRF是必須的要求CSRF令牌春季安全
請後,需要進行修改。
在securitycontext.xml<http>
<csrf />
</http>
,並給出應用正在與令牌每節
您可以通過提供自己的實現此接口的改變CsrfTokenRepository
默認實現並對其進行配置,如:
<http>
<csrf token-repository-ref="myRequestCsrfTokenRepository"/>
</http>
<b:bean id="myRequestCsrfTokenRepository"
class="com.company.security.RequestCsrfTokenRepository"/>
但是......雖然你寫道這是必須要求,但你應該重新考慮一遍。我甚至建議嘗試說服另一端,這種改變可能會給應用用戶帶來更多的安全性,但也會帶來很多不便,有時會出現奇怪的行爲,並且通常會降低可用性和用戶體驗。例如。見Different csrf token per request in Spring security
但是爲什麼?它不增加安全性並且殺死緩存並且退回按鈕 –
應用程序需要該功能。高度安全的應用程序 – Fedrik
工作返回按鈕也是一個需求。 –