我正在嘗試?yán)肧pring Security內(nèi)置的CSRF保護(hù)。這些是我正在使用的spring版本：

Spring Framework版本-4.2.1

spring安全-4.0.2

Spring安全性文檔提到，還必須保護(hù)登錄頁面不受CSRF攻擊。我看到啟用CSRF保護(hù)(并且沒有傳遞令牌)時(shí)，登錄不起作用-符合預(yù)期。

我的登錄頁面是純HTML頁面(不是JSP)，并且我無法使用任何Spring或JSTL標(biāo)記。我正在考慮實(shí)施一種類似于此處所述的解決方案-

如以上鏈接所述(作者的博客在評論中鏈接到接受的答案)，該解決方案是在登錄頁面上進(jìn)行AJAX調(diào)用，該調(diào)用將獲取CSRF令牌的值，然后將其包含在登錄請求中

但是，spring文檔還提到，一旦訪問csrfToken，就會(huì)創(chuàng)建一個(gè)新的HttpSession。我有幾個(gè)問題-

我的ajax調(diào)用無法獲得csrf令牌，因?yàn)槲冶仨氃诘卿浿罢{(diào)用它。

考慮到ajax調(diào)用不安全，一旦訪問CSRF令牌就立即生成新的HttpSession的事實(shí)也引起了人們的關(guān)注。

該應(yīng)用程序的其余部分僅進(jìn)行AJAX或REST調(diào)用，我計(jì)劃實(shí)現(xiàn)客戶端攔截器，以便在用戶登錄后將CSRF令牌包含在標(biāo)頭中(據(jù)我了解，用戶會(huì)話有一個(gè)CsrfToken)

有沒有人對使用spring的CSRF保護(hù)純HTML登錄頁面有想法？

與50位技術(shù)專家面對面20年技術(shù)見證，附贈(zèng)技術(shù)全景圖

總結(jié)

以上是生活随笔為你收集整理的无csrf防护的html页面,Springs CSRF保护仅* HTML登录页面的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。