例如一个简单的弹簧配置
http.authorizeRequests()
.antMatchers(HttpMethod.POST,"/create").permitAll()
.anyRequest().authenticated()
.and().formLogin();
启用 csfr 后,对“/create”端点的请求将被重定向到登录页面,在那里我可以找到 _csfr 值,然后我可以使用新标头“X-CSRF-Token”发出另一个帖子请求,最后请求将被送达。 但是如果登录页面被禁用怎么办? :
http.authorizeRequests()
.antMatchers(HttpMethod.POST,"/create").permitAll()
.anyRequest().authenticated()
//.and().formLogin();
服务器会返回403 forbiden,没有html页面解析,这种情况下如何获取csfr值?