在浏览器中,我可以在URL中看到我想避免的CSRF令牌。
http://localhost:8080/......./new?someval=val&CSRFToken=1975f761-fb40-4146-ad02-29ba9d5b3cdd
根本原因是我们正在使用带有http方法GET的FORM标签。 这被用作我们想要传递给控制器进行某些处理的一些隐藏参数。
如何避免URL中的CSRF令牌。因为我不想删除表单,因为它已经过测试并且会对测试产生影响。
答案 0 :(得分:1)
我遇到了同样的问题,我将提交的表单方法改为发布
<form action="" method="post">
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
<!-- other tag -->
</form>