如何实现在Spring Security 3.2.Currently它在每个工作阶段。这一处理每个请求的CSRF是必须的要求CSRF令牌春季安全
请后,需要进行修改。
在securitycontext.xml<http>
<csrf />
</http>
,并给出应用正在与令牌每节
如何实现在Spring Security 3.2.Currently它在每个工作阶段。这一处理每个请求的CSRF是必须的要求CSRF令牌春季安全
请后,需要进行修改。
在securitycontext.xml<http>
<csrf />
</http>
,并给出应用正在与令牌每节
您可以通过提供自己的实现此接口的改变CsrfTokenRepository
默认实现并对其进行配置,如:
<http>
<csrf token-repository-ref="myRequestCsrfTokenRepository"/>
</http>
<b:bean id="myRequestCsrfTokenRepository"
class="com.company.security.RequestCsrfTokenRepository"/>
但是......虽然你写道这是必须要求,但你应该重新考虑一遍。我甚至建议尝试说服另一端,这种改变可能会给应用用户带来更多的安全性,但也会带来很多不便,有时会出现奇怪的行为,并且通常会降低可用性和用户体验。例如。见Different csrf token per request in Spring security
但是为什么?它不增加安全性并且杀死缓存并且退回按钮 –
应用程序需要该功能。高度安全的应用程序 – Fedrik
工作返回按钮也是一个需求。 –