spring security CSRF 保护
Posted
技术标签:
【中文标题】spring security CSRF 保护【英文标题】:spring security CSRF protection 【发布时间】:2016-01-12 13:02:54 【问题描述】:我在春天读到documentation 需要使用 post 方法提交注销。类似于:
<c:url var="logoutUrl" value="/problemSolution/logout"/>
<form action="$logoutUrl" id="logout" method="post">
<input type="hidden" name="$_csrf.parameterName" value="$_csrf.token"/>
</form>
<a href="#" onclick="document.getElementById('logout').submit();">Logout</a>
为什么会这样?
【问题讨论】:
重复security.stackexchange.com/questions/62769/… 【参考方案1】:因为如果它是 GET,那么其他人可以将你注销,这很烦人。
你去compromised.com
他们运行一个向yourbank.com/logout发出GET请求的脚本
您已退出yourbank.com
【讨论】:
以上是关于spring security CSRF 保护的主要内容,如果未能解决你的问题,请参考以下文章
使用 Spring Security 保护 Web 应用程序免受 CSRF 攻击
使用 Grails Spring Security 进行 CSRF 保护