标签: java spring session spring-security
有一个使用POST方法和csrf_token = '1'的表单(为了简洁起见)。
csrf_token = '1'
会话超时后,我提交表单并重定向到登录页面。登录后,我可以在CsrfFilter(在调试器中)中看到旧令牌(在请求中)和新生成的令牌('2')。由于这些不匹配,我得到InvalidCsrfTokenException然后403错误。
CsrfFilter
InvalidCsrfTokenException
在这种情况下,Spring应该如何表现?
我查了这些帖子:
但它们看起来都像是解决方法。有没有更好的选择?为什么Spring团队不会将其中一个作为默认值?