当前,CSFR保护需要/读取请求参数,但是由于您使用的表单类型不同,因此无法将表单内容用作请求参数。如果将其添加到URL,它将作为请求参数可用。
内部
DispatcherServlet有多部分检测,这种请求被包装在MultipartHttpServletRequest的实现中,该实现对多部分请求进行解码,并使内容可用作请求参数。
但是,Spring
Security过滤器会在此之前执行。在找到最终解决方案之前,您可以配置MultipartFilter并在Spring
Security过滤器链之前执行它。基本上,这将包装环绕解码置于的前面
DispatcherServlet。这里要提醒的一件事是,您还需要将其放在Spring
Security过滤器 之前 。
可以在Spring Security 参考指南中找到示例配置和其他解决方案。
