2
Spring Securityを使用すると、ユーザが認証された後、Spring SecurityフィルタによってJSESSIONIDヘッダーフィールド(Cookieフィールド)
したがって、formを送信している場合、またはリソース要求を行っている場合、ブラウザにはJSESSIONIDが自動的に含まれ、サーバー側にはJSESSIONIDが有効となります。すべての場合はform受理されるか、要求が提供されます。SpringセキュリティはJSESSIONIDを介してセッションを処理します。しかし、AJAXリクエストでは、セッション情報(JSESSIONIDなど)が含まれていますか?
しかし、認証後、jspまたはフロントエンドのページにAJAX(またはjQueryまたはDojo)リクエストが発生した場合、何が起こるかがサーバーに通知されます。 AJAXリクエストでも、ブラウザにJSESSIONIDヘッダーフィールドが含まれているとわかりません。
- つまり、「同じorgin」ポリシーです。右? – joveny
これは正しいです。 –
AjaxのPOSTリクエストでは、 'csfr'をオフにしない限り、' csfr'ヘッダもインクルードする必要があります。 – dkanejs