在spring security中更改csrf令牌_Spring_Spring Security_Csrf

在spring security中更改csrf令牌

spring spring-security

在spring security中更改csrf令牌,spring,spring-security,csrf,Spring,Spring Security,Csrf,我在spring security中使用csrf，如下所示 <http auto-config="false" > ... <csrf /> ... </http> <meta name="_csrf" content="${_csrf.token}" /> <meta name="_csrf_header" content="${_csrf.headerName}" /> ... ... 然后像这样放入

我在spring security中使用csrf，如下所示

<http auto-config="false" >
    ...
    <csrf />
    ...
</http>

<meta name="_csrf" content="${_csrf.token}" />
<meta name="_csrf_header" content="${_csrf.headerName}" />


...
...

然后像这样放入每个jsp页面

<http auto-config="false" >
    ...
    <csrf />
    ...
</http>

<meta name="_csrf" content="${_csrf.token}" />
<meta name="_csrf_header" content="${_csrf.headerName}" />

问题是，每次刷新页面时，我都希望更改令牌。但是，只要用户登录，令牌就不会更改。

Spring default use per session csrf，您可以检查它的实现。

根据变更令牌，我建议您实现自己的变更令牌。并在需要时调用其方法重置令牌。

我很好奇，为什么每次刷新页面时都要更改令牌？登录的用户可能正在计划攻击。软件的安全性对我们很重要。