Spring Security4配置CSRF问题记录

spring security4默认是开启csrf的，所以在登陆页面需要添加

type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>

如上，可以获取到csrf的token值，但是，一般情况下我们都会将登录页的安全配置为none，这样的话登录页面就不属于security的管理范围之内了，所以就会导致在登录页面无法获取到csrf的token值。

此时，我们可以将登录页的安全过滤配置为“ROLE_ANONYMOUS”这样登录页就可以在security的管理之下可以不需要登陆访问也可以获取到token值。

注意：
csrf默认的过滤验证对于请求为“GET”, “HEAD”, “TRACE”, “OPTIONS” 的方法不尽兴验证，所以如何请求为post等方法则需要带上token在请求头中，如果是使用的ajax请求则可以使用如下方法：

$(document).ajaxSend(function(e,xhr,options){
    xhr.setRequestHeader(header,token);
});

header和token都可以使用el表达式直接在页面获取，因为security将csrf的相关信息都保存在了session中，以上就是csrf得相关配置。