Question

我的项目要求我使用Spring Security进行CSRF和XSS保护，但不要将其用于身份验证和授权。我已将SS配置到我的应用程序中，但每次访问页面时，它都会自动将我重定向到它的登录页面。如何禁用此功能？我的SecurityConfig文件是：

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth)
            throws Exception {
    }
}

Answer 1

下面给出的SecurityConfig将允许所有请求未经过身份验证，但将拥有CSRF和XSS警卫：

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().anyRequest().permitAll();
    }
}

Answer 2

配置弹簧安全配置，如下所示，以及所需的弹簧安全依赖性。自己进行测试，以确保它具备您所需的一切。

package org.springframework.security.samples.config;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().antMatchers("**").permitAll().and().csrf()
                .and().headers().frameOptions().sameOrigin().xssProtection();

    }

}

没有使用Spring Security的身份验证和授权

2 个答案: