Grails - Spring Security Plugin: Aktivieren CSRF Filter

Question

Ich weiß, dass Spring Security integrierte addierte CSRF-Schutz in Version 3.2.0 wie hier angegeben: http://docs.spring.io/spring-security/site/docs/3.2.0.CI-SNAPSHOT/reference/html/csrf.html

Ich bin mit Grails 2.4.3 mit der Feder-Sicherheit- Core-Plugin-Version 2.0.0, die Spring Security Version 3.2.3 zu verwenden scheint, jedoch ist der CSRF-Schutz entweder nicht aktiviert oder nicht vorhanden.

Ich frage mich, ob es eine Möglichkeit gibt, es im Plugin zu aktivieren, die ich vermisse. Gibt es eine Möglichkeit, eine der im Link zu diesem Plugin genannten Konfigurationsmethoden zu verwenden? Jede Hilfe wäre willkommen! Vielen Dank.

Ich weiß, dass spätere Versionen dieses standardmäßig, aber ein Upgrade Version Grails ist keine Option für mich, und spätere Versionen des Federsicherheits-Core-Plugin benötigen Grails 3.

Answer 1

Soweit ich weiß, Es gibt keinen Standard-CSRF-Schutz in einer Version des Grails-Spring-Sicherheits-Plugins. Nach der Frühjahrs Sicherheit doc

1) Sie müssen sicher sein, dass Ihre Anwendung PATCH verwendet, POST, PUT und/oder für irgendetwas löschen, die einschließen Zustand

2) modifiziert die CSRF-Token in allen PATCH, POST, PUT und DELETE Methoden

Grails kann das Token für Sie erzeugen und prüfen, nur <g:form useToken="true" ...> für alle Form submitions verwenden. Überprüfen Sie es here. Bun dann müssen Sie alle Controller ändern.

Andernfalls müssen Sie einige benutzerdefinierte Lösung verwenden, zB Sie einen Dienst für Token Generation schaffen kann, ist es von gsp nennen:

<g:set var="token" bean="tokenService"/> 
<g:form token="${token.getToken()}"> 

und einen Filter erstellen, ein Token aus jedem PATCH, POST, zu validieren PUT und DELETE-Anfragen