春のセキュリティのリクエストごとに異なるcsrfトークン

Question

Webプロジェクトのスプリングセキュリティxmlファイルに<csrf/>タグを使用しています。そして、フォームでCSRFトークンを送信：

<form action="" method="post"> 
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/> 
</form> 

しかし、セッションが続くまでBurpSuiteを通じて要求をインターセプトに私はすべてのリクエストで同じCSRFトークンを取得しています。

春のセキュリティでセッションごとに要求ごとに異なるcsrfトークンを送信する方法はありますか。

私は3.2.4スプリングセキュリティジャーを使用しています。

Answer 1

CSRFトークンのデフォルトの持続時間は、セッションの持続時間です。 CSRFトークンはHTTPセッションに格納されるため、セッションごとに生成されます。詳細についてはSpring Security documentation on CSRFを確認してください。

スプリングセキュリティは、個々のニーズに合わせて拡張することができますので、目的に合わせて拡張することができます。

しかし、この拡張機能に影響を与えるユーザビリティ：一方または両方のタブでセッション中断の原因になります2つ目のタブで

1. オープニングウェブアプリ。
2. 提出されたフォームの「戻る」ボタンは、いくつかの奇妙なエラーを引き起こす可能性があります。私のアプリケーションで