Spring 安全注释 @EnableWebSecurity 在 Spring MVC 项目中不起作用
Spring Security Anotation @EnableWebSecurity does not works in Spring MVC project
我必须在我的 spring MVC 项目中启用 X-Frame-Options: SAMEORIGIN,以便 return 此参数进入 http 响应 header。
项目部署在 Apache Tomcat 9.
这是我的网络安全配置
@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.headers().frameOptions().sameOrigin();
}
}
这就是我初始化调度程序 servlet 的方式
public class DispatcherServletInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {
@Override
protected Class<?>[] getRootConfigClasses() {
return new Class[]{AppConfig.class, WebSecurityConfig.class};
}
@Override
protected Class<?>[] getServletConfigClasses() {
return new Class[]{WebConfig.class};
}
@Override
protected String[] getServletMappings() {
return new String[]{"/"};
}
}
在 spring 安全文档 (https://docs.spring.io/spring-security/site/docs/5.3.1.RELEASE/reference/html5/#headers) 中提到
Spring Security provides a default set of security related HTTP
response headers to provide secure defaults.
但是,我在响应 Header 中看不到任何安全性 header,似乎我的项目中没有启用 spring 安全性。
如果我将 header 选项手动添加到 @Controller class 方法中它会起作用
@Controller
public class WController {
@GetMapping("/hello")
public String sayHello(HttpServletResponse response, Model model) {
response.setHeader("X-Frame-Options", "SAMEORIGIN");
return "htmlPageTemplate";
}
}
请检查,我做错了什么。
如何正确修复和启用网络安全?
我错过了 filter,只是添加了新的 class 来扩展 AbstractSecurityWebApplicationInitializer,它解决了问题。
public class SecurityWebApplicationInitializer extends AbstractSecurityWebApplicationInitializer {
}
我必须在我的 spring MVC 项目中启用 X-Frame-Options: SAMEORIGIN,以便 return 此参数进入 http 响应 header。
项目部署在 Apache Tomcat 9.
这是我的网络安全配置
@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.headers().frameOptions().sameOrigin();
}
}
这就是我初始化调度程序 servlet 的方式
public class DispatcherServletInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {
@Override
protected Class<?>[] getRootConfigClasses() {
return new Class[]{AppConfig.class, WebSecurityConfig.class};
}
@Override
protected Class<?>[] getServletConfigClasses() {
return new Class[]{WebConfig.class};
}
@Override
protected String[] getServletMappings() {
return new String[]{"/"};
}
}
在 spring 安全文档 (https://docs.spring.io/spring-security/site/docs/5.3.1.RELEASE/reference/html5/#headers) 中提到
Spring Security provides a default set of security related HTTP response headers to provide secure defaults.
但是,我在响应 Header 中看不到任何安全性 header,似乎我的项目中没有启用 spring 安全性。
如果我将 header 选项手动添加到 @Controller class 方法中它会起作用
@Controller
public class WController {
@GetMapping("/hello")
public String sayHello(HttpServletResponse response, Model model) {
response.setHeader("X-Frame-Options", "SAMEORIGIN");
return "htmlPageTemplate";
}
}
请检查,我做错了什么。 如何正确修复和启用网络安全?
我错过了 filter,只是添加了新的 class 来扩展 AbstractSecurityWebApplicationInitializer,它解决了问题。
public class SecurityWebApplicationInitializer extends AbstractSecurityWebApplicationInitializer {
}