spring security CSRF 保护

Posted

技术标签:

【中文标题】spring security CSRF 保护【英文标题】:spring security CSRF protection 【发布时间】:2016-01-12 13:02:54 【问题描述】:

我在春天读到documentation 需要使用 post 方法提交注销。类似于:

<c:url var="logoutUrl" value="/problemSolution/logout"/>
<form action="$logoutUrl" id="logout" method="post">
    <input type="hidden" name="$_csrf.parameterName" value="$_csrf.token"/>
</form>
<a href="#" onclick="document.getElementById('logout').submit();">Logout</a>

为什么会这样?

【问题讨论】:

重复security.stackexchange.com/questions/62769/… 【参考方案1】:

因为如果它是 GET,那么其他人可以将你注销,这很烦人。

你去compromised.com

他们运行一个向yourbank.com/logout发出GET请求的脚本

您已退出yourbank.com

【讨论】:

以上是关于spring security CSRF 保护的主要内容,如果未能解决你的问题,请参考以下文章

Spring-Security对CSRF攻击的支持

使用 Spring Security 保护 Web 应用程序免受 CSRF 攻击

spring security CSRF 保护

使用 Grails Spring Security 进行 CSRF 保护

用于 Spring Security 和 AngularJS 的 CSRF/XSRF 保护

Spring Boot - Spring Security CSRF 保护未在登录页面中注入令牌