http.csrf().disable()を使用してエッジ/ ZuulでCSRFを無効にしようとしました。 しかし、csrfFilterはフィルタチェーン@ position 4で利用できます。 私はさらにプロパティーを設定しましたspring.enableCsrf: false。それでもcsrfFilterが起動し、私のajaxリクエストは403エラーになります。spring-cloud:CSRFを無効にする
Zuulと外部OAuthサーバー(UAA)でCSRFを無効にするにはどうすればよいですか?
Configure CSRF Protection いくつかのフレームワークは、ユーザーのセッションをinvalidingにより無効CSRFトークンを扱うが、これは、独自の問題が発生します。代わりに、デフォルトでSpring SecurityのCSRF保護によって、HTTP 403アクセスが拒否されます。これは、InvalidCsrfTokenExceptionを異なる方法で処理するようにAccessDeniedHandlerを構成することによってカスタマイズできます。
Spring Security 4.0以降、CSRF保護はXML構成でデフォルトで有効になっています。 CSRF保護を無効にする場合は、対応するXML設定を以下に示します。
<http>
<!-- ... -->
<csrf disabled="true"/>
</http>
CSRF保護は、Java Configurationでデフォルトで有効になっています。 CSRFを無効にしたい場合は、対応するJava構成を以下に示します。 CSRF保護がどのように構成されているかについての追加のカスタマイズについては、csrf()のJavadocを参照してください。
@EnableWebSecurity
public class WebSecurityConfig extends
WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.csrf().disable();
}
}
プロパティファイルでこれを行うのを知っていますか? – Rig
失敗したリクエストのスタックトレースを追加できますか? –
フロントエンド部分も正しく設定されていますか? jqueryのために私たちは、CORSを許可するには、このような何かを設定する必要がありました: '$ .ajaxSetup({ xhrFields:{ withCredentials:真、 CORS:真、 }、 クロスドメイン:真、 データ型: 'JSON'、 } ); ' – Paizo
@MukulGoel、Paizo私はずっと前にこの試験をしました。私は今、ソースコードを持っていません。回答いただきありがとうございます。 –