Play 2.5 对某些请求禁用 csrf 保护
Play 2.5 disable csrf protection for some requests
我正在使用 play framework v. 2.5.3 编写我的应用程序,并使用官方文档中描述的 CSRF 保护。
public class Filters implements HttpFilters {
@Inject
CSRFFilter csrfFilter;
@Override
public EssentialFilter[] filters() {
return new EssentialFilter[]{csrfFilter.asJava()};
}}
当然可以,只要所有请求都需要过滤,但应该绕过其中一些请求。如何配置过滤器以绕过某些指定路由的请求?谢谢你的帮助!
您可以修饰 CSRFFilter 并使用路由路径列表来包含或排除过滤器的应用。
路由路径需要采用编译形式,因此像“/foo/bar”这样的路由会是 /profile,但是像 /view/:foo/:bar 这样具有动态组件的路由会变成 /view/$foo<[^/]+>/$bar<[^/]+>。在开发模式下,您可以通过转到未映射的 URL(例如 http://localhost:9000/@foo)来列出路由的编译版本。
import java.util.LinkedList;
import java.util.List;
import javax.inject.Inject;
import akka.util.ByteString;
import play.filters.csrf.CSRFFilter;
import play.libs.streams.Accumulator;
import play.mvc.EssentialAction;
import play.mvc.EssentialFilter;
import play.mvc.Result;
import play.routing.Router;
public class MaybeCsrfFilter extends EssentialFilter {
private final EssentialFilter csrfFilter;
private final List<String> applyCsrf = new LinkedList<>();
@Inject
public MaybeCsrfFilter(final CSRFFilter csrfFilter) {
this.csrfFilter = csrfFilter.asJava();
// alternatively, define the inclusion/exclusion list in the config and inject Configuration to obtain it
applyCsrf.add("/foo/bar");
applyCsrf.add("/view/$foo<[^/]+>/$bar<[^/]+>");
}
@Override
public EssentialAction apply(final EssentialAction next) {
return EssentialAction.of(request -> {
final Accumulator<ByteString, Result> accumulator;
final String currentRoute = request.tags().get(Router.Tags.ROUTE_PATTERN);
if (applyCsrf.contains(currentRoute)) {
accumulator = csrfFilter.apply(next).apply(request);
} else {
accumulator = next.apply(request);
}
return accumulator;
});
}
}
这是蛮力,你必须让你的过滤器与 inclusion/exclusion 列表同步,但它有效。
或者,您可以使用 routes 文件中的注释来确定哪些路由不应应用 CSRF 过滤器。
对于 routes 这样的文件
#NOCSRF
GET /foo/bar controllers.Application.foo()
#NOCSRF
GET /view/:hurdy/:gurdy controllers.Application.bar()
GET /something/else controllers.Application.bar()
此过滤器实现不会将 CSRF 过滤器应用于其路由前面有 # NOCSRF 的任何操作。对于此示例,只有 /something/else 会应用 CSRF 过滤器。
public EssentialAction apply(final EssentialAction next) {
return EssentialAction.of(request -> {
final Accumulator<ByteString, Result> accumulator;
final String routeComment = request.tags().get(Router.Tags.ROUTE_COMMENTS);
if ("NOCSRF".equals(routeComment)) {
accumulator = next.apply(request);
} else {
accumulator = csrfFilter.apply(next).apply(request);
}
return accumulator;
});
}
您的 Filters 定义将变为
public class Filters implements HttpFilters {
private final MaybeCsrfFilter csrf;
@Inject
public Filters(final MaybeCsrfFilter csrf) {
this.csrf = csrf;
}
@Override
public EssentialFilter[] filters() {
return new EssentialFilter[]{csrf};
}
}
不要忘记为 MaybeCsrfFilter 创建绑定!
我正在使用 play framework v. 2.5.3 编写我的应用程序,并使用官方文档中描述的 CSRF 保护。
public class Filters implements HttpFilters {
@Inject
CSRFFilter csrfFilter;
@Override
public EssentialFilter[] filters() {
return new EssentialFilter[]{csrfFilter.asJava()};
}}
当然可以,只要所有请求都需要过滤,但应该绕过其中一些请求。如何配置过滤器以绕过某些指定路由的请求?谢谢你的帮助!
您可以修饰 CSRFFilter 并使用路由路径列表来包含或排除过滤器的应用。
路由路径需要采用编译形式,因此像“/foo/bar”这样的路由会是 /profile,但是像 /view/:foo/:bar 这样具有动态组件的路由会变成 /view/$foo<[^/]+>/$bar<[^/]+>。在开发模式下,您可以通过转到未映射的 URL(例如 http://localhost:9000/@foo)来列出路由的编译版本。
import java.util.LinkedList;
import java.util.List;
import javax.inject.Inject;
import akka.util.ByteString;
import play.filters.csrf.CSRFFilter;
import play.libs.streams.Accumulator;
import play.mvc.EssentialAction;
import play.mvc.EssentialFilter;
import play.mvc.Result;
import play.routing.Router;
public class MaybeCsrfFilter extends EssentialFilter {
private final EssentialFilter csrfFilter;
private final List<String> applyCsrf = new LinkedList<>();
@Inject
public MaybeCsrfFilter(final CSRFFilter csrfFilter) {
this.csrfFilter = csrfFilter.asJava();
// alternatively, define the inclusion/exclusion list in the config and inject Configuration to obtain it
applyCsrf.add("/foo/bar");
applyCsrf.add("/view/$foo<[^/]+>/$bar<[^/]+>");
}
@Override
public EssentialAction apply(final EssentialAction next) {
return EssentialAction.of(request -> {
final Accumulator<ByteString, Result> accumulator;
final String currentRoute = request.tags().get(Router.Tags.ROUTE_PATTERN);
if (applyCsrf.contains(currentRoute)) {
accumulator = csrfFilter.apply(next).apply(request);
} else {
accumulator = next.apply(request);
}
return accumulator;
});
}
}
这是蛮力,你必须让你的过滤器与 inclusion/exclusion 列表同步,但它有效。
或者,您可以使用 routes 文件中的注释来确定哪些路由不应应用 CSRF 过滤器。
对于 routes 这样的文件
#NOCSRF
GET /foo/bar controllers.Application.foo()
#NOCSRF
GET /view/:hurdy/:gurdy controllers.Application.bar()
GET /something/else controllers.Application.bar()
此过滤器实现不会将 CSRF 过滤器应用于其路由前面有 # NOCSRF 的任何操作。对于此示例,只有 /something/else 会应用 CSRF 过滤器。
public EssentialAction apply(final EssentialAction next) {
return EssentialAction.of(request -> {
final Accumulator<ByteString, Result> accumulator;
final String routeComment = request.tags().get(Router.Tags.ROUTE_COMMENTS);
if ("NOCSRF".equals(routeComment)) {
accumulator = next.apply(request);
} else {
accumulator = csrfFilter.apply(next).apply(request);
}
return accumulator;
});
}
您的 Filters 定义将变为
public class Filters implements HttpFilters {
private final MaybeCsrfFilter csrf;
@Inject
public Filters(final MaybeCsrfFilter csrf) {
this.csrf = csrf;
}
@Override
public EssentialFilter[] filters() {
return new EssentialFilter[]{csrf};
}
}
不要忘记为 MaybeCsrfFilter 创建绑定!