子育てエンジニアブログ

子育てに励むシステムエンジニア(SE)のブログ

【Java】【Spring】Springにおけるクロスサイトリクエストフォージェリ(CSRF)対策

Springにおけるクロスサイトリクエストフォージェリ(CSRF)対策についてです。

Springでも他と同じようにトークンを使用して、判断をしている。

基本的にSpring Securityを使用している場合、デフォルトでCSRF対策がONになるため、formタグでth:action属性を使用していれば、タイムリーフが自動でトークンを追加し意識的にクロスサイトリクエストフォージェリ(CSRF)対策を行う必要がない。

もし意図的にトークンを渡したいのであれば、下記のようにhidden属性にトークンをセットすればOK。
デフォルトでは、トークンは _csrf という名前でリクエストスコープに保存されている。

 <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />