转:为spring mvc加上csrf防范的简单方案

官方文档建议你引入spring security,然后用一行简单的xml配置就可以搞定csrf防范。

但是引入spring security意味着你必须使用它的一套authentication & authorization机制,而且这玩意儿也不轻量。

网上搜了下,下面这个方案简单又可靠,你抄一些它的代码即可:

http://blog.eyallupu.com/2012/04/csrf-defense-in-spring-mvc-31.html

=======

以上只对普通form提交方式有效

对于ajax方式,可以在页面任何一处写一个<form:form/>,就可以在页面源码中生成这样一个token; ajax在提交时,把这个token作为post的内容提交就可以了

Leave a Comment

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.