首先,这是对 Spring MVC 3.1.x http://blog.eyallupu.com/2012/04/csrf-defense-in-spring-mvc-31.html的参考,我尝试实现 RequestDataValueProcessor 并添加了一个
<bean name="requestDataValueProcessor" class="my.class"/>
到我的 servlet 的上下文文件。
我可以从启动的调试输出中看到创建了 bean,但是没有调用任何方法,呈现的页面上的表单不包含特殊的隐藏值,当然,HandlerInterceptor 看到并返回所有 POST 尝试的 403。
我确信 3.1.4 版本的 Spring jar 是我的战争中的内容。仅仅创建一个具有给定名称的 bean 似乎非常……神奇。我还需要做哪些我错过的事情?