Переименование заголовка маркера CSRF с помощью Spring Security

Question

Я ссылаюсь на следующую документацию по безопасности Spring около csrf configuration.

кажется имя заголовка по умолчанию для маркеров CSRF является: X-CSRF-TOKEN

Как объяснен в документации:

<meta name="_csrf" content="${_csrf.token}"/> 
<!-- default header name is X-CSRF-TOKEN --> 
<meta name="_csrf_header" content="${_csrf.headerName}"/> 

кажется AngularJs использует следующее имя заголовка: X-XSRF-TOKEN

1. Как изменить название заголовка на Сторона безопасности весны?
2. Это лучший способ для продолжения?
3. Будет ли это влиять на защиту CSRF на классическую форму, отличную от ajax, и, в частности, имя параметра XSRF?

Answer 1

Вы можете создать свой собственный экземпляр боб HttpSessionCsrfTokenRepository, установите свойство headerName этого экземпляра и передать ссылку на этот экземпляр к конфигурации CSRF, как <security:csrf token-repository-ref="..." />. Например,

<bean id="csrfTokenRepository" class="org.springframework.security.web.csrf.HttpSessionCsrfTokenRepository"> 
    <property name="headerName" value="X-SECURITY" /> 
</bean> 

<security:http> 
    <security:csrf token-repository-ref="csrfTokenRepository" /> 
</security:http>