【发布时间】:2015-06-11 00:05:55
【问题描述】:
我正在尝试使用 Spring 和 freemarker 作为模板来实现 CSRF。
由于 freemarker 的限制,我必须添加 javascript 函数才能使其工作,就像我在这里看到的那样:
所以,我添加了这段代码:
$(function () {
var token = $("meta[name='_csrf']").attr("content");
var header = $("meta[name='_csrf_header']").attr("content");
$(document).ajaxSend(function(e, xhr, options) {
xhr.setRequestHeader(header, token);
});
});
据我所知,它没有添加任何内容,只是添加了一些没有内容的元标记...而且我无法 100% 确定 ajaxSend 正在工作,有什么方法可以知道它正在工作吗?
我读到默认情况下 CSRF 是启用的。而且我有正确的链过滤器(据我所知)。
我正在使用 spring 3.2.8 和 security 3.2.5 以及 freemarker 2.3.2
有什么方法可以验证吗?
谢谢
【问题讨论】:
-
我希望您的意思是“如何知道我的 CSRF-Protection 是否有效?”
-
在 Spring security 3.2.5 中,csrf 默认仅对 Java 配置启用。您必须为 XML
显式启用它。 Spring security 3.2.5 reference -
但每次我做
-
发布您的堆栈跟踪/错误会有所帮助