2.3.1 “CSRF跨站请求”问题
启动服务并访问测试:
输入正确的用户名和密码后点击登录按钮:
出现CSRF跨站请求禁止。
2.3.2 “CSRF跨站请求”的概念
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
2.3.3 “CSRF跨站请求”问题解决
在配置文件“spring-security.xml”配置文件中添加跨站请求配置: