CẬP NHẬT (tháng 1 năm 2014): Spring Security 3.2 có triển khai CSRF-Token.
Đối với Xuân An < = 3.1:
Vì CSRF đã lưu ý để làm với mùa xuân bảo mật của (Authentication & Authorization) cả hai có thể được thực hiện độc lập với nhau.
Có một số triển khai CRSF dựa trên Bộ lọc. Ví dụ có một chiếc được vận chuyển với Tomcat 7, và Tomcat 6.0.something
Khi tôi cố gắng sử dụng chúng (vào mùa hè 2011), tôi không cảm thấy nó hoạt động tốt. Vì vậy, tôi đã tự thực hiện.
EDIT (April 2012): Thực hiện tôi làm việc với Spring 3.0, nếu bạn đang sử dụng Spring 3.1, sau đó có một cái nhìn tại Eyal Lupu's answer và ông Blog nó sử dụng một số mùa xuân 3,1 tính năng để xử lý bộ lọc được dễ dàng hơn.
Tôi chưa công bố công khai cho đến bây giờ (không có thời gian). Nhưng bạn sẽ. Bạn có thể tải nó (đây là lần đầu tiên tôi sử dụng 4shared.com, tôi hy vọng nó hoạt động):
Hạn chế thực hiện của tôi là, những gì bạn cần để thêm mã thông báo rõ ràng vào mọi biểu mẫu gửi POST, DELETE, PUT.
JSP (x):
xmlns:crsf="http://www.humanfork.de/tags/de/humanfork/security/crsf"
...
<form ...>
<crsf:hiddenCrsfNonce/>
....
</form>
web.xml
<filter>
<filter-name>IdempotentCrsfPreventionFilter</filter-name>
<filter-class>de.humanfork.security.crsf.IdempotentCsrfPreventionFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>IdempotentCrsfPreventionFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
Bạn là đúng, mùa xuân không có hỗ trợ đó. Nhưng câu hỏi là gì? – Ralph
Ok. Một dấu chấm hỏi đã bị mất tích. Tôi xin lôi. Có thư viện bao gồm cả Spring Security + Spring MVC có bảo vệ CSRF không? Hay là đủ để bao gồm Spring MVC vì CSRF chỉ có hại khi người dùng được xác thực? –