在Thymeleaf中禁用CSRF隐藏输入

时间:2017-01-15 01:54:56

标签: spring-security thymeleaf

我有一个简单的搜索输入:

<form>
  <input name="search" />
</form>

只要我添加th:action,Thymeleaf就会添加一个隐藏的CSRF输入字段,即使我在这里不需要它。

有没有办法为这个给定的表单禁用此行为?

1 个答案:

答案 0 :(得分:0)

您可以添加

<csrf disabled="true"/>

到spring-security.xml文件,因为csrf保护是启用默认值。

所以你的配置文件可能会像:

<http auto-config="true" use-expressions="false">
    <form-login
            login-page="/login"
            default-target-url="/index"
            login-processing-url="/login"
            password-parameter="password"
            username-parameter="username"
            authentication-failure-handler-ref="authenticationFailureHandler"
    <intercept-url pattern="/login" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
    <intercept-url pattern="/logout" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
    <csrf disabled="true"/>
</http>
相关问题
最新问题