クラス CsrfConfigurer<H extends HttpSecurityBuilder<H>>
java.lang.ObjectSE
org.springframework.security.config.annotation.SecurityConfigurerAdapter<DefaultSecurityFilterChain,B>
org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer < CsrfConfigurer <H>、H>
org.springframework.security.config.annotation.web.configurers.CsrfConfigurer<H>
- 実装されたすべてのインターフェース:
SecurityConfigurer<DefaultSecurityFilterChain,
H>
public final class CsrfConfigurer<H extends HttpSecurityBuilder<H>>
extends AbstractHttpConfigurer<CsrfConfigurer<H>,H>
requireCsrfProtectionMatcher(RequestMatcher)
で指定されているメソッドに CSRF 保護を追加します。セキュリティフィルター
次のフィルターが読み込まれます作成された共有オブジェクト
共有オブジェクトは作成されません。使用される共有オブジェクト
ExceptionHandlingConfigurer.accessDeniedHandler(AccessDeniedHandler)
は、CSRF 試行の処理方法を決定するために使用されますInvalidSessionStrategy
- 導入:
- 3.2
コンストラクターのサマリー
コンストラクターメソッドのサマリー
修飾子と型メソッド説明void
SecurityBuilder
に必要なプロパティを設定して、SecurityBuilder
を構成します。csrfTokenRepository
(CsrfTokenRepository csrfTokenRepository) 使用するCsrfTokenRepository
を指定します。csrfTokenRequestHandler
(CsrfTokenRequestHandler requestHandler) CsrfToken
をリクエスト属性として使用可能にするために使用するCsrfTokenRequestHandler
を指定します。ignoringRequestMatchers
(StringSE... patterns) requireCsrfProtectionMatcher(RequestMatcher)
と一致しても CSRF 保護を使用しないHttpServletRequest
を指定できます。ignoringRequestMatchers
(RequestMatcher... requestMatchers) requireCsrfProtectionMatcher(RequestMatcher)
と一致しても CSRF 保護を使用しないHttpServletRequest
を指定できます。requireCsrfProtectionMatcher
(RequestMatcher requireCsrfProtectionMatcher) CSRF を適用するタイミングを決定するために使用するRequestMatcher
を指定します。sessionAuthenticationStrategy
(SessionAuthenticationStrategy sessionAuthenticationStrategy) 使用するSessionAuthenticationStrategy
を指定します。クラス org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer から継承されたメソッド
disable, getSecurityContextHolderStrategy, withObjectPostProcessor
クラス org.springframework.security.config.annotation.SecurityConfigurerAdapter から継承されたメソッド
addObjectPostProcessor, and, getBuilder, init, postProcess, setBuilder
コンストラクターの詳細
CsrfConfigurer
public CsrfConfigurer(org.springframework.context.ApplicationContext context) 新しいインスタンスを作成します- 関連事項:
メソッドの詳細
csrfTokenRepository
使用するCsrfTokenRepository
を指定します。デフォルトはHttpSessionCsrfTokenRepository
です。- パラメーター:
csrfTokenRepository
- 使用するCsrfTokenRepository
- 戻り値:
- さらにカスタマイズするための
CsrfConfigurer
requireCsrfProtectionMatcher
CSRF を適用するタイミングを決定するために使用するRequestMatcher
を指定します。デフォルトでは、GET、HEAD、TRACE、OPTIONS を無視し、他のすべてのリクエストを処理します。- パラメーター:
requireCsrfProtectionMatcher
- 使用するRequestMatcher
- 戻り値:
- さらにカスタマイズするための
CsrfConfigurer
csrfTokenRequestHandler
CsrfToken
をリクエスト属性として使用可能にするために使用するCsrfTokenRequestHandler
を指定します。- パラメーター:
requestHandler
- 使用するCsrfTokenRequestHandler
- 戻り値:
- さらにカスタマイズするための
CsrfConfigurer
- 導入:
- 5.8
ignoringRequestMatchers
requireCsrfProtectionMatcher(RequestMatcher)
と一致しても CSRF 保護を使用しないHttpServletRequest
を指定できます。例: 次の設定により、CSRF 保護が無視されます。
- GET、HEAD、TRACE、OPTIONS (これがデフォルトです)
- また、"X-Requested-With:XMLHttpRequest" ヘッダーを持つリクエストを無視するよう明示的に述べています
http .csrf() .ignoringRequestMatchers((request) -> "XMLHttpRequest".equals(request.getHeader("X-Requested-With"))) .and() ...
- 導入:
- 5.1
ignoringRequestMatchers
requireCsrfProtectionMatcher(RequestMatcher)
と一致しても CSRF 保護を使用しないHttpServletRequest
を指定できます。例: 次の設定により、CSRF 保護が無視されます。
- GET、HEAD、TRACE、OPTIONS (これがデフォルトです)
- また、"/sockjs/" で始まるリクエストはすべて無視することを明示的に述べています
http .csrf() .ignoringRequestMatchers("/sockjs/**") .and() ...
sessionAuthenticationStrategy
public CsrfConfigurer<H> sessionAuthenticationStrategy(SessionAuthenticationStrategy sessionAuthenticationStrategy) 使用する
SessionAuthenticationStrategy
を指定します。デフォルトはCsrfAuthenticationStrategy
です。- パラメーター:
sessionAuthenticationStrategy
- 使用するSessionAuthenticationStrategy
- 戻り値:
- さらにカスタマイズするための
CsrfConfigurer
- 導入:
- 5.2
configure
インターフェースからコピーされた説明:SecurityConfigurer
SecurityBuilder
に必要なプロパティを設定して、SecurityBuilder
を構成します。- 次で指定:
- インターフェース
SecurityConfigurer<DefaultSecurityFilterChain,
のH extends HttpSecurityBuilder<H>> configure
- オーバーライド:
- クラス
SecurityConfigurerAdapter<DefaultSecurityFilterChain,
のH extends HttpSecurityBuilder<H>> configure