播放2.5禁用某些请求的csrf保护

时间:2016-05-24 08:33:05

标签: java playframework csrf playframework-2.5

我正在使用play framework v.2.5.3编写我的应用程序,并使用官方文档中描述的CSRF保护。

public class Filters implements HttpFilters {

@Inject
CSRFFilter csrfFilter;

@Override
public EssentialFilter[] filters() {
    return new EssentialFilter[]{csrfFilter.asJava()};
}}

当然,只要所有请求都需要过滤,它就可以工作,但其中一些请求应该被绕过。如何配置过滤器以绕过某些指定路由的请求?谢谢你的帮助!

1 个答案:

答案 0 :(得分:3)

您可以修饰CSRFFilter并使用路径路径列表来包含或排除过滤器的应用。

路径路径需要采用编译形式,因此像'/ foo / bar'这样的路由为/profile,但包含/view/:foo/:bar等动态组件的路由会变为/view/$foo<[^/]+>/$bar<[^/]+> 。在开发模式下,您可以通过转到未映射的URL(例如http://localhost:9000/@foo)来列出路由的编译版本。

import java.util.LinkedList;
import java.util.List;
import javax.inject.Inject;
import akka.util.ByteString;
import play.filters.csrf.CSRFFilter;
import play.libs.streams.Accumulator;
import play.mvc.EssentialAction;
import play.mvc.EssentialFilter;
import play.mvc.Result;
import play.routing.Router;

public class MaybeCsrfFilter extends EssentialFilter {

    private final EssentialFilter csrfFilter;

    private final List<String> applyCsrf = new LinkedList<>();

    @Inject
    public MaybeCsrfFilter(final CSRFFilter csrfFilter) {
        this.csrfFilter = csrfFilter.asJava();

        // alternatively, define the inclusion/exclusion list in the config and inject Configuration to obtain it
        applyCsrf.add("/foo/bar");
        applyCsrf.add("/view/$foo<[^/]+>/$bar<[^/]+>");
    }

    @Override
    public EssentialAction apply(final EssentialAction next) {
        return EssentialAction.of(request -> {
            final Accumulator<ByteString, Result> accumulator;
            final String currentRoute = request.tags().get(Router.Tags.ROUTE_PATTERN);
            if (applyCsrf.contains(currentRoute)) {
                accumulator = csrfFilter.apply(next).apply(request);
            } else {
                accumulator = next.apply(request);
            }
            return accumulator;
        });
    }
}

这是蛮力,你必须让你的过滤器与包含/排除列表保持同步,但它有效。

或者,您可以使用routes文件中的注释来确定哪些路由不应该应用CSRF过滤器。

对于像

这样的routes文件 
#NOCSRF
GET   /foo/bar               controllers.Application.foo()
#NOCSRF
GET   /view/:hurdy/:gurdy    controllers.Application.bar()
GET   /something/else        controllers.Application.bar()

此过滤器实现不会将CSRF过滤器应用于路径前面有# NOCSRF的任何操作。对于此示例,只有/something/else会应用CSRF过滤器。

public EssentialAction apply(final EssentialAction next) {
    return EssentialAction.of(request -> {
        final Accumulator<ByteString, Result> accumulator;
        final String routeComment = request.tags().get(Router.Tags.ROUTE_COMMENTS);
        if ("NOCSRF".equals(routeComment)) {
            accumulator = next.apply(request);
        } else {
            accumulator = csrfFilter.apply(next).apply(request);
        }
        return accumulator;
    });
}

您的Filters定义将变为

public class Filters implements HttpFilters {

    private final MaybeCsrfFilter csrf;

    @Inject
    public Filters(final MaybeCsrfFilter csrf) {
        this.csrf = csrf;
    }

    @Override
    public EssentialFilter[] filters() {
        return new EssentialFilter[]{csrf};
    }
}

不要忘记为MaybeCsrfFilter创建绑定!

相关问题
最新问题