CSRF-Token in URLs vermeiden

Question

Im Browser kann ich CSRF-Token in URL sehen, die ich vermeiden möchte.

http://localhost:8080/......./new?someval=val&CSRFToken=1975f761-fb40-4146-ad02-29ba9d5b3cdd

Die Ursache ist, dass wir FORM-Tag mit HTTP-Methode GET verwenden. Dies wird als verdeckte Parameter verwendet, die wir zur Verarbeitung an den Controller übergeben wollen.

So vermeiden Sie CSRF-Token in URL. Weil ich Form nicht entfernen möchte, wie es bereits geprüft wird und eine Testwirkung sein wird.

Answer 1

Ich hatte das gleiche Problem und ich änderte die Methode der Einreichung des Formulars

<form action="" method="post"> 
    <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/> 
    <!-- other tag --> 
</form> 

posten