Grails-Spring Security插件:启用CSRF过滤器
我知道Spring Security在3.2.0版中添加了内置CSRF保护,如下所述:http://docs.spring.io/spring-security/site/docs/3.2.0.CI-SNAPSHOT/reference/html/csrf.html
我使用Grails 2.4.3与spring-security-core插件版本2.0.0,它似乎使用Spring Security版本3.2.3,但是,CSRF保护要么未启用,要么不存在。
我想知道是否有办法在我缺少的插件中打开它。有没有办法使用该插件链接中提到的配置方法之一?任何帮助都将不胜感激!谢谢
我知道以后的版本默认会启用此功能,但升级Grails版本不是我的选择,而spring security core插件的更高版本需要Grails 3。
共有2个答案
您可以参考https://stackoverflow.com/a/38053797.
我在grails 2.5.6上实现了这个。希望这有所帮助!
据我所知,任何版本的GrailsSpring Security插件中都没有默认的CSRF保护。根据Spring Security文档
1)您需要确定您的应用程序正在使用PATCH、POST、PUT和/或DELETE来修改状态
2) 在所有PATCH、POST、PUT和DELETE方法中包括CSRF令牌
Grails可以为您生成和检查令牌,只需使用
否则,您必须使用一些自定义解决方案,例如,您可以创建一个令牌生成服务,从gsp调用它:
<g:set var="token" bean="tokenService"/>
<g:form token="${token.getToken()}">
并创建一个过滤器,以验证每个补丁、POST、PUT和DELETE请求中的令牌
-
丰富的过滤器插件的存在是 logstash 威力如此强大的重要因素。名为过滤器,其实提供的不单单是过滤的功能。在本章我们就会重点介绍几个插件,它们扩展了进入过滤器的原始数据,进行复杂的逻辑处理,甚至可以无中生有的添加新的 logstash 事件到后续的流程中去!
-
免责声明:我的问题有点类似于这个问题和这个问题,但我已经尝试了这些帖子中建议的所有答案,并且已经花了几天时间来解决这个问题。 我在我现有的应用程序(JSP,仅限Servlet)中引入了Spring Security 3.2.6,并且我正在使用Java配置。我的应用程序将被浏览器和非浏览器客户端使用。我希望所有浏览器对网址的请求(即<代码>/网页/webVersion/和<代码>/网页/webVer
-
关于创建支持CDI的shiro Realms的信息已经足够多了。在我的情况下,我需要CDI在自定义shiro过滤器,这可能吗? 西罗。伊尼
-
我可以将以下插件组合在一起还是存在任何不兼容之处?如何测试插件是否协同工作良好?
-
我目前正在尝试使用Gradle构建一个Grails项目,以轻松集成一些存储库。我已经创建了一个新的目录,并从该目录我已经创建了以下build.gradle文件从这个网站的指示: http://grails.github.io/grails-gradle-plugin/docs/manual/guide/introduction.html 当我尝试使用构建时,我遇到了以下错误: 失败:构建失败,有一
-
我正在尝试编写Grails openId插件的教程。我创建了一个测试应用程序,完全按照伯特·贝克维思教程中的步骤操作http://grails-plugins.github.com/grails-spring-security-openid/docs/manual/guide/3.教程。html 但是,当我已经在这样做的步骤:$grails s2-快速入门com.openidtest用户角色 它显