禁用 Vaadin CSRF

Disable Vaadin CSRF

提问人:Mei Mariang 提问时间:11/6/2023 最后编辑:cfrickMei Mariang 更新时间:11/8/2023 访问量:72

问:

我正在使用 Vaadin 24.2 + Springboot 3.1.5 和 Spring Security

所以,根据这个: Vaadin Docs

客户端和服务器之间的所有请求都包含在特定于用户会话的 CSRF 令牌中。它们之间的所有通信都由 Vaadin 处理,因此您不必手动包含和验证 CSRF 令牌。

现在,我需要禁用 CSRF 保护(针对特定的组织需求)。我怎样才能做到这一点?

spring-boot vaadin csrf

评论

0赞 cfrick 11/6/2023
禁用安全功能是个坏主意。为了排除 X-Y 问题,这个“组织需求”是什么?
0赞 Mei Mariang 11/6/2023
@cfrick 我的组织要求在有和没有 csrf 保护的情况下进行安全审计。

答:

1赞 Leif Åstrand 11/6/2023 #1

如此处所述,有一个配置选项可以设置为 true 以禁用内置保护。disable-xsrf-protection

评论

0赞 Mei Mariang 11/8/2023
Astrand 感谢您的回复。但这是针对 Vaadin 8 的。它会在 Vaadin 24 中起作用吗?如果是这样,我应该做什么配置。没有解释清楚。
0赞 Leif Åstrand 11/8/2023
对不起,链接过时了。Vaadin 24 中也存在相同的配置参数。我用更新的链接更新了我的答案。同一页面还介绍了如何应用配置。如果您使用的是 Spring Boot,请注意,还有一个单独的页面,说明如何通过 设置相同的属性。application.properties
0赞 Mei Mariang 11/9/2023
阿斯特兰德。非常感谢。

上一个:为什么我在 RequestMatchers(HttpMethod.POST,“/login”).permitAll() 上收到 403 Forbidden 错误

下一个:CSRF 保护(如果表单标记不存在)