我正在嘗試利用Spring Security內置的CSRF保護。這些是我正在使用的spring版本：

Spring Framework版本-4.2.1

spring安全-4.0.2

Spring安全性文檔提到，還必須保護登錄頁面不受CSRF攻擊。我看到啟用CSRF保護(并且沒有傳遞令牌)時，登錄不起作用-符合預期。

我的登錄頁面是純HTML頁面(不是JSP)，并且我無法使用任何Spring或JSTL標記。我正在考慮實施一種類似于此處所述的解決方案-

如以上鏈接所述(作者的博客在評論中鏈接到接受的答案)，該解決方案是在登錄頁面上進行AJAX調用，該調用將獲取CSRF令牌的值，然后將其包含在登錄請求中

但是，spring文檔還提到，一旦訪問csrfToken，就會創建一個新的HttpSession。我有幾個問題-

我的ajax調用無法獲得csrf令牌，因為我必須在登錄之前調用它。

考慮到ajax調用不安全，一旦訪問CSRF令牌就立即生成新的HttpSession的事實也引起了人們的關注。

該應用程序的其余部分僅進行AJAX或REST調用，我計劃實現客戶端攔截器，以便在用戶登錄后將CSRF令牌包含在標頭中(據我了解，用戶會話有一個CsrfToken)

有沒有人對使用spring的CSRF保護純HTML登錄頁面有想法？

與50位技術專家面對面20年技術見證，附贈技術全景圖

總結

以上是生活随笔為你收集整理的无csrf防护的html页面,Springs CSRF保护仅* HTML登录页面的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。