springboot整合security,默认情况下csrf是开启状态,这时候发起post请求可能会遭遇4xx
如果不在乎csrf攻击,简单处理
http.csrf().disable();
如果不关闭csrf,就需要前端获取到csrf-token,在发起post请求时传递给后端
默认在登陆页会返回_csrf,post请求需要在header添加X-CSRF-TOKEN
参看:org.springframework.security.web.csrf.HttpSessionCsrfTokenRepository
对于服务器页面可以采用参数注入的方式获取token,这样
<input type='hidden' name='${_csrf.parameterName}' value='${_csrf.token}' />
或者这样
对于前后端分离的系统,可以将token放在cookie中(XSRF-TOKEN),在发起post请求时,通过js从cookie中获取到token,然后在header中添加属性X-XSRF-TOKEN
参看:org.springframework.security.web.csrf.CookieCsrfTokenRepository
http.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());