无csrf防护的html页面,springs csrf保护仅* html登录页面 -凯发k8官方网

我正在尝试利用spring security内置的csrf保护。这些是我正在使用的spring版本：

spring framework版本-4.2.1

spring安全-4.0.2

spring安全性文档提到，还必须保护登录页面不受csrf攻击。我看到启用csrf保护(并且没有传递令牌)时，登录不起作用-符合预期。

我的登录页面是纯html页面(不是jsp)，并且我无法使用任何spring或jstl标记。我正在考虑实施一种类似于此处所述的凯发k8官方网的解决方案-

如以上链接所述(作者的博客在评论中链接到接受的答案)，该凯发k8官方网的解决方案是在登录页面上进行ajax调用，该调用将获取csrf令牌的值，然后将其包含在登录请求中

但是，spring文档还提到，一旦访问csrftoken，就会创建一个新的httpsession。我有几个问题-

我的ajax调用无法获得csrf令牌，因为我必须在登录之前调用它。

考虑到ajax调用不安全，一旦访问csrf令牌就立即生成新的httpsession的事实也引起了人们的关注。

该应用程序的其余部分仅进行ajax或rest调用，我计划实现客户端拦截器，以便在用户登录后将csrf令牌包含在标头中(据我了解，用户会话有一个csrftoken)

有没有人对使用spring的csrf保护纯html登录页面有想法？

与50位技术专家面对面20年技术见证，附赠技术全景图

总结

以上是凯发k8官方网为你收集整理的无csrf防护的html页面,springs csrf保护仅* html登录页面的全部内容，希望文章能够帮你解决所遇到的问题。

如果觉得凯发k8官方网网站内容还不错，欢迎将凯发k8官方网推荐给好友。