Защита CSRF с использованием Spring Security

Question

Есть ли способ реализовать только защиту CSRF с использованием весенней безопасности без использования остальной части функций, таких как аутентификация и авторизация?

Я пробовал следующую конфигурацию, но отключает все функции пружинной защиты. Хотел посмотреть, есть ли способ настроить, чтобы включить функции csrf.

<beans:beans xmlns="http://www.springframework.org/schema/security" 
    xmlns:beans="http://www.springframework.org/schema/beans" 
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
    xsi:schemaLocation="http://www.springframework.org/schema/beans 
    http://www.springframework.org/schema/beans/spring-beans-4.0.xsd 
    http://www.springframework.org/schema/security 
    http://www.springframework.org/schema/security/spring-security-4.0.xsd"> 

    <http auto-config="true" security="none"/> 

    <authentication-manager> 
     <authentication-provider> 
      <user-service> 
       <user name="user" password="Password1" authorities="ROLE_USER"/> 
      </user-service> 
     </authentication-provider> 
    </authentication-manager> 

</beans:beans> 

Answer 1

Как вы уже заметили, security="none" позволяет указать подмножество адресов, для которых Spring Security должен быть полностью отключен, как в:

<http pattern="/css/**" security="none"/> 
<http pattern="/login.jsp*" security="none"/> 

Если вы хотите сохранить Spring Security для URL , но хотите отключить проверку подлинности и т.д., используйте access="permitAll" вместо:

<http> 
    <intercept-url pattern="/**" access="permitAll"/> 
</http> 

Я вижу, что вы используете Spring Security 4, так CSRF защиты будет по умолчанию. Если вы используете Spring Security 3, вам нужно будет включить его самостоятельно, как:

<http> 
    <intercept-url pattern="/**" access="permitAll"/> 
    <csrf/> 
</http> 

EDIT Я обновил свой ответ. Прошло некоторое время с тех пор, как я использовал xml config. Может быть, вам стоит рассмотреть возможность использования конфигурации Java?