CSRF和Spring Security
[英]CSRF and Spring Security
问题描述
我一直在努力掌握弹簧的安全性,并总是对初始配置感到困惑。 在几本教程中,我发现CSRF已禁用,而在几本中,我发现它已启用。
在某些论坛上写它是因为禁用它是一件好事,而在一些教程中,很少有人提到禁用csrf不是一个好习惯。
我的观点是为什么我们需要CSRF? 使用CSRF的原因是什么? 如果禁用它会怎样?为什么不禁用它呢?
http.csrf()
.csrfTokenRepository(csrfTokenRepository()).and()
.addFilterAfter(csrfHeaderFilter(), CsrfFilter.class)
和
http.csrf().disable()
.exceptionHandling().and()
.anonymous().and()
.servletApi().and()
.headers().cacheControl().and()
.authorizeRequests()
如果我将Spring Security与REST一起使用,什么是最佳配置? 因为在第二种配置下,它向我显示了一个用于登录的弹出窗口。 在第一种配置中,它给了我
(未找到预期的CSRF令牌。您的会话是否已过期?)
1 个解决方案
解决方案1
1 2015-09-14 19:43:32
Spring 安全 csrf 已禁用,仍然找到无效的 CSRF 令牌
[英]Spring security csrf disabled, still get an Invalid CSRF token found
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
Spring Security和CSRF攻击
Spring Security CSRF禁用问题
Spring 安全中的条件 CSRF 保护
使用 Spring 安全性和 AngularJS 进行 CSRF 预防
Spring Security,Rest Authentication和CSRF
禁用CSRF的Spring Security 405
Spring Security未创建CSRF令牌
Spring Security CSRF支持手动安全配置
Spring 安全 csrf 已禁用,仍然找到无效的 CSRF 令牌
Spring Security 4 JTwig将CSRF令牌放入表格中
相关标签