spring security 4.1兩個不錯功能介紹
了下新特性,有兩個比較值得關注:
1) 可以在pathvariable形式的URL中進行保護了
比如有個方法:
[code="java"]
public class WebSecurity {
public boolean checkUserId(Authentication authentication, int id) {
...
}
}
[/code]
則可以用這個配置進行防護
<http>
<intercept-url pattern="/user/{userId}/**"
access="@webSecurity.checkUserId(authentication,#userId)"/>
...
</http>
這樣,凡是/user/{userId}/**這樣rest形式的url,都可以呼叫方法進行保護了
2) 支援Content Security Policy (CSP)
什麼是CSP?W3C的Content Security Policy,簡稱CSP。顧名思義,這個規範與內容安全有關,主要是用來定義頁面可以載入哪些資源,減少XSS的發生。
具體參考文章:https://www.ongod.org/1149.html
http://www.html5rocks.com/en/tutorials/security/content-security-policy/
http://open.chrome.360.cn/extension_dev/contentSecurityPolicy.html