你可以获取使用名为_csrf中所列的请求属性CSRF 参考。要将CSRF添加到HTML页面,你将需要使用Javascript来获取需要包含在请求中的令牌。
将标头作为标头返回比在主体中作为JSON返回更安全,因为主体中的JSON可以通过外部域获取。例如,你的Javascript可以请求由以下内容处理的URL:
CsrfToken token = (CsrfToken) request.getAttribute("_csrf");// Spring Security will allow the Token to be included in this header nameresponse.setHeader("X-CSRF-HEADER", token.getHeaderName());// Spring Security will allow the token to be included in this parameter nameresponse.setHeader("X-CSRF-PARAM", token.getParameterName());// this is the value of the token to be included as either a header or an HTTP parameterresponse.setHeader("X-CSRF-TOKEN", token.getToken());然后,你的Javascript将从响应标头中获得标头名称或参数名称以及令牌,并将其添加到登录请求中。
