如何在Play框架2（Java）中有选择地禁用CSRF检查

Question

如何在Play框架2（Java）中有选择地禁用CSRF检查

javafacebooksecurityplayframeworkplayframework-2.0

5

在Play框架中，我们可以应用全局CSRF检查。

@SuppressWarnings({ "rawtypes", "unchecked" })
@Override
public <T extends EssentialFilter> Class<T>[] filters() {
    Class[] filters = { CSRFFilter.class };

    return filters;
}

在大多数情况下这是可以的。但我想设置一个指向我们网站的Facebook画布页面。问题是Facebook会向我们的站点发送POST请求，而这会被CSRF检查所阻止。它总是返回"Invalid CSRF Token"

因此，我想在某些操作中有选择地禁用CSRF检查，比如www.ourwebsite.com/canvas

这可行吗？

- duy

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Dominik Dorn · Accepted Answer

我在博客上发布了如何操作的文章，点击这里查看：

http://dominikdorn.com/2014/07/playframework-2-3-global-csrf-protection-disable-csrf-selectively/

2017年更新：从PlayFramework 2.6开始，这已经包含在框架本身中：https://www.playframework.com/documentation/2.6.x/JavaCsrf#applying-a-global-csrf-filter