spring-cloud：禁用 CSRF

Question

嘗試使用http.csrf().disable()在 edge/zuul 中禁用 CSRF。 但是 csrfFilter 在過濾器鏈@位置 4 中仍然可用。我什至設置了屬性spring.enableCsrf: false 。 仍然 csrfFilter 啟動，我的 ajax 請求得到 403 錯誤。

如何使用 Zuul 和外部 OAuth 服務器 (UAA) 禁用 CSRF？

Answer 1

配置CSRF保護一些框架通過使用戶的會話無效來處理無效的CSRF令牌，但這會導致其自身的問題。 相反，默認情況下，Spring Security的CSRF保護將產生HTTP 403訪問被拒絕。 這可以通過配置AccessDeniedHandler以不同方式處理InvalidCsrfTokenException來自定義。

從Spring Security 4.0開始，默認情況下使用XML配置啟用CSRF保護。 如果要禁用CSRF保護，可以在下面看到相應的XML配置。

<http>
    <!-- ... -->
    <csrf disabled="true"/>
</http>

默認情況下，Java Configuration會啟用CSRF保護。 如果要禁用CSRF，可以在下面看到相應的Java配置。 有關如何配置CSRF保護的其他自定義，請參閱csrf（）的Javadoc。

@EnableWebSecurity
public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
    .csrf().disable();
}
}

Answer 2

在郵遞員中仍然面臨 POST 請求的這個問題，嘗試在 configure() 中禁用，嘗試使用屬性文件和 XML 配置。 請幫我解決這個問題，我從過去 2 天開始就對此感到震驚？

"