Spring Security и _csrf.parameterName
От: serjjj Россия  
Дата: 08.11.18 15:54
Оценка:
Когда нужно вставить в форму csrf-token в примерах везде пишут:

<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>


И все хорошо, если задать другой parameterName, то не нужно переделывать все JSP. Но если посмотреть исходник CsrfFilter.java, то видно, что атрибут добавляется так:

request.setAttribute(csrfToken.getParameterName(), csrfToken);


Т.е. если поменять parameterName, то все JSP все равно придется изменять. Тогда может проще не заморачиваться, и писать без лишнего мусора?

<input type="hidden" name="_csrf" value="${_csrf.token}"/>


Или я что-то не понимаю?
Re: Spring Security и _csrf.parameterName
От: GarryIV  
Дата: 10.11.18 11:44
Оценка:
Здравствуйте, serjjj, Вы писали:

S>
S><input type="hidden" name="_csrf" value="${_csrf.token}"/>
S>


Да вобщем то нормально так. Можно даже и тег сделать раз уж у вас jsp и будете писать <xxx:csrf/>
У нас вообще этот хидден в теге формы генерился.

Вы какой-то фрейворк для view используете? Во многих вообще есть встроенная поддержка csrf.
WBR, Igor Evgrafov
Re[2]: Spring Security и _csrf.parameterName
От: serjjj Россия  
Дата: 12.11.18 09:11
Оценка:
Спасибо за отклик. В определенной степени было общее недоумение. Усложнять библиотеку ради гибкости, и всю гибкость убить одной лишь строчкой... Получается, это просто косяк разработчиков.
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.