对于最新的稳定版本,请使用 Spring Security 6.3.1! |
对于最新的稳定版本,请使用 Spring Security 6.3.1! |
5.8 迁移指南包含更新到 6.0 时漏洞利用保护迁移的几个步骤。 我们鼓励您先按照这些步骤操作。
以下步骤与如何完成迁移漏洞利用保护支持有关。
延迟加载 CsrfToken
在 Spring Security 5.8 中,向应用程序提供 的默认值是 。
该字段的默认值为 ,这会导致在每个请求上加载 CSRF 令牌。CsrfTokenRequestHandler
CsrfToken
CsrfTokenRequestAttributeHandler
csrfRequestAttributeName
null
在 Spring Security 6 中,默认为 .
如果仅为了更新到 6.0 而配置了以下内容,则现在可以将其删除:csrfRequestAttributeName
_csrf
requestHandler.setCsrfRequestAttributeName("_csrf");
防止 CSRF BREACH
在 Spring Security 5.8 中,向应用程序提供 的默认值是 。 已添加以允许选择加入 CSRF BREACH 支持。CsrfTokenRequestHandler
CsrfToken
CsrfTokenRequestAttributeHandler
XorCsrfTokenRequestAttributeHandler
在 Spring Security 6 中,是提供 available 的默认值。
如果仅为了更新到 6.0 而配置了 only,则可以将其完全删除。XorCsrfTokenRequestAttributeHandler
CsrfTokenRequestHandler
CsrfToken
XorCsrfTokenRequestAttributeHandler
如果已将 to 设置为选择退出延迟令牌,或者出于任何其他原因配置了 ,则可以保留配置。 |
如果已将 to 设置为选择退出延迟令牌,或者出于任何其他原因配置了 ,则可以保留配置。 |
支持 WebSocket 的 CSRF BREACH
在 Spring Security 5.8 中,WebSocket Security 提供的默认值是 。 已添加以允许选择加入 CSRF BREACH 支持。ChannelInterceptor
CsrfToken
CsrfChannelInterceptor
XorCsrfChannelInterceptor
在 Spring Security 6 中,是提供 available 的默认值。
如果仅为了更新到 6.0 而配置了 only,则可以将其完全删除。XorCsrfChannelInterceptor
ChannelInterceptor
CsrfToken
XorCsrfChannelInterceptor