私はSpring Security 4を使用しています。CSRFを有効にしてWebサイトのセキュリティを維持するまでは、すべてうまく動作します。しかし、私は関連文書をたくさん読んだ後に混乱しています。ここに質問があります:Spring Security CSRFトークンを取得
私は、Spring MVCとSpring SecurityのバックエンドサービスをComputer A
で実行しています。Computer B
私はすべてのフロントエンドHTMLを持っています。 New Computer B
のWebページからログインしたいと思っています。それはいつもInvalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.
と書かれています。CSRFトークンはComputer A
によって生成されると思いますが、どうすればそれを入手して次のリクエストに含めることができますか?
おかげ
はい。私はそれを試みました。実は、私は '$ {_} csrf.tokenリクエストを送信するとき、'本物のトークンで置き換えられるべきだと思い、それが正しいのですか? –
はいthats右 – shankarsh15
私の質問は、トークンがSpring Securityによって生成された場合、どのようにクライアントコンピュータがそれを知っていますか?すなわち、どのように「$ {_ csrf.tokenを}」交換する値を検索します。 –