如何仅在 localhost 的 Spring Security 中禁用 csrf？

Question

我有工作的 Spring Boot 应用程序，其中启用了 csrf，但现在我只想为 localhost 禁用它。来自其他域的任何请求都必须通过 csrf 安全性，但对于 localhost，我想禁用它。我怎样才能做到这一点？

我知道如何通过更改来禁用它

@Configuration
@EnableWebMvcSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf.disable();
    }
}

上面的代码禁用了 csrf，但我想为唯一的 localhost 禁用 csrf。

你能帮帮我吗？

编辑：我知道如何通过两个配置文件来做到这一点。感谢@daren 的详细回答。

Answer 1

您可以使用 Spring Profiles 来实现您想要做的事情。

https://docs.spring.io/spring-boot/docs/current/reference/html/boot-features-profiles.html

最简单的你可以有两种配置

@Configuration
@EnableWebMvcSecurity
@Profile("!deployed") //Not(!) deployed profile
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf.disable();
    }
}

在已部署的区域中，deployed 配置文件处于活动状态。

@Configuration
@EnableWebMvcSecurity
@Profile("deployed")
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf.enable();
    }
}

根据您正在执行的安全配置，您可以执行与此相反的操作，并在默认情况下激活一个本地配置文件，这将执行禁用操作。

Answer 2

您可以使用CsrfConfigurer#requireCsrfProtectionMatcher 方法并使用RequestMatcher 检查请求本地地址和远程地址，例如

private RequestMatcher csrfProtectionMatcher() {
    final Set<String> allowedMethods = ImmutableSet.of("GET", "HEAD", "TRACE", "OPTIONS");
    return request -> !allowedMethods.contains(request.getMethod()) && !(request.getLocalAddr().equals(request.getRemoteAddr()));
}