2016-05-06 1 views
0

認証や認可などの残りの機能を使用せずにSpring Securityを使用してCSRF保護のみを実装する方法はありますか?CSRF Spring Securityを使用した保護

私は以下の設定を試みましたが、スプリングセキュリティのすべての機能をオフにしました。 csrf機能をオンのままにする設定があるかどうかを確認したい。あなたがURLのため春のセキュリティを維持したい場合

<http pattern="/css/**" security="none"/> 
<http pattern="/login.jsp*" security="none"/> 

:あなたはすでにsecurity="none"に気づいたよう

<beans:beans xmlns="http://www.springframework.org/schema/security" 
    xmlns:beans="http://www.springframework.org/schema/beans" 
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
    xsi:schemaLocation="http://www.springframework.org/schema/beans 
    http://www.springframework.org/schema/beans/spring-beans-4.0.xsd 
    http://www.springframework.org/schema/security 
    http://www.springframework.org/schema/security/spring-security-4.0.xsd"> 

    <http auto-config="true" security="none"/> 

    <authentication-manager> 
     <authentication-provider> 
      <user-service> 
       <user name="user" password="Password1" authorities="ROLE_USER"/> 
      </user-service> 
     </authentication-provider> 
    </authentication-manager> 

</beans:beans> 
+0

この質問は、あなたが何か具体的なことを求められると思われるこのサイトのガイドラインを実際に満たしていません。あなたはすでに結果を求めてグーグルを探しましたか?もしそうなら、あなたは何かを試してそのことについて具体的な質問をするべきだったのです。 – JoeG

答えて

0

あなたは春のセキュリティのように、完全に無効にされるべきURLのサブセットを指定することができますが、その代わりにaccess="permitAll"を使用するなどの認証を無効にする:

<http> 
    <intercept-url pattern="/**" access="permitAll"/> 
</http> 

を私はCSRF保護がなりますので、あなたが、春のセキュリティ4を使用していることがわかりデフォルトで有効になります。あなたは春のセキュリティ3を使用した場合、あなたはそれを自分で有効にする必要があります、のように:

<http> 
    <intercept-url pattern="/**" access="permitAll"/> 
    <csrf/> 
</http> 

EDIT 私は私の答えを更新しました。私はxmlの設定を使ってからしばらくしています。たぶん、あなたはJavaの設定を使用することを検討する必要がありますか?

+0

は動作していないようです。私は以下の例外が発生しています: cvc-complex-type.3.2.2:属性 'access'は要素 'http'には表示されません。 私が代わりに次の試してみました: org.springframework.beans.factory: <インターセプト-URLパターン= "/ **" アクセス= "permitAll" />今 を、私は次の例外を取得しています。 parsing.BeanDefinitionParsingException:設定の問題:AuthenticationEntryPointを確立できませんでした。 – user3768145