我在Spring安全配置中启用了csrf令牌。但移动设备如何接收csrf令牌?当我有jsp时,它看起来像:
< input type =‘hidden’name =’$ {_ csrf.parameterName}‘value =’$ {_ csrf.token} …
如果启用了CSRF,则必须在要登录或注销的页面中包含_csrf.token。否则,登录和注销功能都将失败。
请参阅此 寻求更多帮助。
的 编辑: 强> 您可以从请求中获取csrf令牌并根据您的需要发送它。我已经分享了两个csrf令牌的引用请仔细阅读。它会对你有所帮助。
第一参考 二,参考
您可以实施无状态CSRF保护。一个解决方案 Robbert van Waveren很好地解释了这一点 是的 让客户端在Cookie和自定义HTTP标头中生成并发送相同的唯一秘密值 :
考虑到网站只允许读取/写入Cookie 拥有自己的域,只有真实站点可以在两者中发送相同的值 头。使用这种方法,您的服务器所要做的就是检查是否 在每个请求的无状态基础上,两个值都相等!