Когда нужно вставить в форму csrf-token в примерах везде пишут:
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
И все хорошо, если задать другой parameterName, то не нужно переделывать все JSP. Но если посмотреть исходник CsrfFilter.java, то видно, что атрибут добавляется так:
request.setAttribute(csrfToken.getParameterName(), csrfToken);
Т.е. если поменять parameterName, то все JSP все равно придется изменять. Тогда может проще не заморачиваться, и писать без лишнего мусора?
<input type="hidden" name="_csrf" value="${_csrf.token}"/>
Или я что-то не понимаю?
Здравствуйте, serjjj, Вы писали:
S>S><input type="hidden" name="_csrf" value="${_csrf.token}"/>
S>
Да вобщем то нормально так. Можно даже и тег сделать раз уж у вас jsp и будете писать <xxx:csrf/>
У нас вообще этот хидден в теге формы генерился.
Вы какой-то фрейворк для view используете? Во многих вообще есть встроенная поддержка csrf.
Спасибо за отклик. В определенной степени было общее недоумение. Усложнять библиотеку ради гибкости, и всю гибкость убить одной лишь строчкой... Получается, это просто косяк разработчиков.