对于最新的稳定版本,请使用 Spring Security 6.3.1Spring中文文档

对于最新的稳定版本,请使用 Spring Security 6.3.1Spring中文文档

5.8 迁移指南包含更新到 6.0 时漏洞利用保护迁移的几个步骤。 我们鼓励您先按照这些步骤操作。Spring中文文档

以下步骤与如何完成迁移漏洞利用保护支持有关。Spring中文文档

延迟加载 CsrfToken

在 Spring Security 5.8 中,向应用程序提供 的默认值是 。 该字段的默认值为 ,这会导致在每个请求上加载 CSRF 令牌。CsrfTokenRequestHandlerCsrfTokenCsrfTokenRequestAttributeHandlercsrfRequestAttributeNamenullSpring中文文档

在 Spring Security 6 中,默认为 . 如果仅为了更新到 6.0 而配置了以下内容,则现在可以将其删除:csrfRequestAttributeName_csrfSpring中文文档

requestHandler.setCsrfRequestAttributeName("_csrf");

防止 CSRF 违规

在 Spring Security 5.8 中,向应用程序提供 的默认值是 。 已添加以允许选择加入 CSRF BREACH 支持。CsrfTokenRequestHandlerCsrfTokenCsrfTokenRequestAttributeHandlerXorCsrfTokenRequestAttributeHandlerSpring中文文档

在 Spring Security 6 中,是提供 available 的默认值。 如果仅为了更新到 6.0 而配置了 only,则可以将其完全删除。XorCsrfTokenRequestAttributeHandlerCsrfTokenRequestHandlerCsrfTokenXorCsrfTokenRequestAttributeHandlerSpring中文文档

如果已将 to 设置为选择退出延迟令牌,或者出于任何其他原因配置了 ,则可以保留配置。csrfRequestAttributeNamenullCsrfTokenRequestHandlerSpring中文文档

如果已将 to 设置为选择退出延迟令牌,或者出于任何其他原因配置了 ,则可以保留配置。csrfRequestAttributeNamenullCsrfTokenRequestHandlerSpring中文文档

支持 WebSocket 的 CSRF BREACH

在 Spring Security 5.8 中,WebSocket Security 提供的默认值是 。 已添加以允许选择加入 CSRF BREACH 支持。ChannelInterceptorCsrfTokenCsrfChannelInterceptorXorCsrfChannelInterceptorSpring中文文档

在 Spring Security 6 中,是提供 available 的默认值。 如果仅为了更新到 6.0 而配置了 only,则可以将其完全删除。XorCsrfChannelInterceptorChannelInterceptorCsrfTokenXorCsrfChannelInterceptorSpring中文文档