Служба весенней загрузки предоставляет одну конечную точку REST и не имеет аутентификации. Это будет использоваться для внутренних коммуникаций микросервисов. Недавно мы добавили сканер безопасности Coverity и проблему получения под CSRF.
CID 22329 (# 1 из 3): подделка межсайтовых запросов (CSRF)
Я отключил CSRF, используя приведенный ниже код.
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Value("${security.enable-csrf:false}")
private boolean csrfEnabled;
@Override
protected void configure(HttpSecurity http) throws Exception {
if (!csrfEnabled) {
http.csrf()
.disable()
/*.ignoringAntMatchers("/api/**")
.and()*/
.authorizeRequests()
.anyRequest()
.permitAll()
.and().
httpBasic();
}
}
}
Spring boot version 2.2 .0.RELEASE