本节讨论 Servlet 对 Spring Security 对常见漏洞的保护的特定支持。
直接参考文档:https://docs.spring.io/spring-security/reference/servlet/exploits/csrf.html
直接参考文档:https://docs.spring.io/spring-security/reference/servlet/exploits/headers.html
所有基于 HTTP 的通信都应使用 TLS 进行保护。
您可以在下面找到有关有助于 HTTPS 使用的 Servlet 特定功能的详细信息。
Spring Security 提供对 Strict Transport Security 的支持并默认启用它。
Spring Security 与 integrates with proxy servers。
FilterChainProxy 使用 HttpFirewall 策略来检查和包装request
在实践中,我们建议您在service层使用方法安全来控制对应用程序的访问,并且不要完全依赖在 Web 应用程序级别定义的安全约束的使用。URL 会发生变化,并且很难考虑应用程序可能支持的所有可能的 URL 以及如何处理请求。您应该尝试限制自己使用一些简单易懂的 ant 路径。始终尝试使用“默认拒绝”方法,其中您最后定义了一个通用通配符 ( / 或 ) 并拒绝访问。【在实际的系统中,为了实现动态性,经常通过Controller中的 URL 进行控制】