[英]CSRF and Spring Security
我一直在努力掌握弹簧的安全性,并总是对初始配置感到困惑。 在几本教程中,我发现CSRF已禁用,而在几本中,我发现它已启用。
在某些论坛上写它是因为禁用它是一件好事,而在一些教程中,很少有人提到禁用csrf不是一个好习惯。
我的观点是为什么我们需要CSRF? 使用CSRF的原因是什么? 如果禁用它会怎样?为什么不禁用它呢?
http.csrf()
.csrfTokenRepository(csrfTokenRepository()).and()
.addFilterAfter(csrfHeaderFilter(), CsrfFilter.class)
和
http.csrf().disable()
.exceptionHandling().and()
.anonymous().and()
.servletApi().and()
.headers().cacheControl().and()
.authorizeRequests()
如果我将Spring Security与REST一起使用,什么是最佳配置? 因为在第二种配置下,它向我显示了一个用于登录的弹出窗口。 在第一种配置中,它给了我
(未找到预期的CSRF令牌。您的会话是否已过期?)
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.