Grailsの - 春のセキュリティー・プラグイン：CSRFは

Question

をフィルタリング有効に私は春のセキュリティは、ビルトインCSRF保護をバージョン3.2.0に、ここで述べたように追加したことを知っている：http://docs.spring.io/spring-security/site/docs/3.2.0.CI-SNAPSHOT/reference/html/csrf.html

私は春、セキュリティにとGrailsの2.4.3を使用していますただし、Spring Securityバージョン3.2.3を使用していると思われるコアプラグインバージョン2.0.0では、CSRF保護が有効になっていないか、存在しません。

私が紛失しているプラ​​グインを有効にする方法があるのだろうかと思います。このプラグインのリンクに記載されている設定方法のいずれかを使用する方法はありますか？どんな助けもありがとう！ありがとう。

私はそれ以降のバージョンは、デフォルトでこれを上持っていることを知っているが、Grailsのバージョンをアップグレードすることは私のためのオプションではありません、そして春 - セキュリティコア・プラグインのそれ以降のバージョンは、私の知る限りではGrailsの3

Answer 1

が必要ですGrailsスプリングセキュリティプラグインのどのバージョンにもデフォルトのCSRF保護はありません。 春のセキュリティドキュメント

1）によると、あなたは、あなたのアプリケーションは、PATCH、POST、PUTを使用していることを特定すること、および/または状態

2を変更する何のために削除する必要は）CSRFトークンを含めますすべてのPATCH、POST、PUT、およびDELETEメソッドを

Grailsはちょうどすべてのフォームsubmitionsため<g:form useToken="true" ...>を使用し、あなたのためのトークンを生成して確認することができます。それを確認してくださいhere。すべてのコントローラを変更する必要があります。

そうでないあなたは、あなたがトークン生成のためのサービスを作成することができます例えば、いくつかのカスタムソリューションを、使用GSPからそれを呼び出す必要があります：

<g:set var="token" bean="tokenService"/> 
<g:form token="${token.getToken()}"> 

、すべてのパッチからトークンを検証するために、フィルタを作成し、POST、 PUT、およびDELETEリクエスト