在spring security中更改csrf令牌
我在spring security中使用csrf,如下所示在spring security中更改csrf令牌,spring,spring-security,csrf,Spring,Spring Security,Csrf,我在spring security中使用csrf,如下所示 <http auto-config="false" > ... <csrf /> ... </http> <meta name="_csrf" content="${_csrf.token}" /> <meta name="_csrf_header" content="${_csrf.headerName}" /> ... ... 然后像这样放入
<http auto-config="false" >
...
<csrf />
...
</http>
<meta name="_csrf" content="${_csrf.token}" />
<meta name="_csrf_header" content="${_csrf.headerName}" />
...
...
然后像这样放入每个jsp页面
<http auto-config="false" >
...
<csrf />
...
</http>
<meta name="_csrf" content="${_csrf.token}" />
<meta name="_csrf_header" content="${_csrf.headerName}" />
问题是,每次刷新页面时,我都希望更改令牌。但是,只要用户登录,令牌就不会更改。Spring default use per session csrf,您可以检查它的实现。
根据变更令牌,我建议您实现自己的变更令牌。并在需要时调用其方法重置令牌。我很好奇,为什么每次刷新页面时都要更改令牌?登录的用户可能正在计划攻击。软件的安全性对我们很重要。