Spring Securityを使用すると、ユーザが認証された後、Spring SecurityフィルタによってJSESSIONID
ヘッダーフィールド(Cookieフィールド)
したがって、form
を送信している場合、またはリソース要求を行っている場合、ブラウザにはJSESSIONID
が自動的に含まれ、サーバー側にはJSESSIONID
が有効となります。すべての場合はform
受理されるか、要求が提供されます。SpringセキュリティはJSESSIONIDを介してセッションを処理します。しかし、AJAXリクエストでは、セッション情報(JSESSIONIDなど)が含まれていますか?
しかし、認証後、jspまたはフロントエンドのページにAJAX(またはjQueryまたはDojo)リクエストが発生した場合、何が起こるかがサーバーに通知されます。 AJAXリクエストでも、ブラウザにJSESSIONID
ヘッダーフィールドが含まれているとわかりません。
- つまり、「同じorgin」ポリシーです。右? – joveny
これは正しいです。 –
AjaxのPOSTリクエストでは、 'csfr'をオフにしない限り、' csfr'ヘッダもインクルードする必要があります。 – dkanejs