我正在查看一些源代码并试图找出_csrf的来源.据我所知,它看起来像一个隐含的EL对象.可能与身份验证和弹簧安全性有关.
以下是包含_csrf的代码.
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
${_ csrf}做什么?这是一个隐含的EL对象吗?
解决方法
跨站点请求伪造,也称为一键式攻击或会话骑行,缩写为CSRF(有时发音为sea-surf)或XSRF,是一种恶意利用网站,其中未经授权的命令从网络用户传输申请信托.
此输入通过向所有页面请求添加特殊的csrf标记来保护表单免受csrf攻击
看一下这个:
https://en.wikipedia.org/wiki/Cross-site_request_forgery
https://www.baeldung.com/spring-security-csrf