最新のSpring BootでCSRF保護を実装しようとしました。 インターネット上のすべての例は、私が必要としないユーザーのログインと認証に基づいています。Spring Boot CSRF
私のサイトには認証が必要なセクションはありません。 (にもかかわらず、私は必要ありません)
application.properties
に定義されたユーザ - - アプリケーションは_csrf.token
を作成 私は
1) Rest requests come from within site. No direct request from outside with wget to be allowed.
2) All pages (routes) must be requested from the index page (/)
が
pom.xml
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
におけるセキュリティの依存関係を含またいです。
- 「configure」メソッドオーバーライドを使用してWebSecurityConfigurerAdapter
を拡張して作成されたクラス。
"configure"ですべてのフィルタを試しました。それは動作しませんでしたし、最終的にそれを空白のままにした
問題は、Wgetがapiページを直接取得できることです。 それを防ぐには?
私はあなたが暗黙の許可を持っている必要がありますので、あなたには、いくつかの認証なしでここで言っていることができないかなり確信しています。私はあなたがこれを読んだことがあると確信しています。http://docs.spring.io/spring-security/site/docs/current/reference/html/csrf.htmlアプリでは、ブラウザ以外の項目に対してCSRFを特に無効にする必要があるので、動作させる必要があります。働くべきであると思う最高の構成とクラスを投稿してください。 GitHubの例が最も簡単かもしれません。 –