Spring Boot и Actuator Security
В целях безопасности все актуаторы, кроме /health и /info, по умолчанию отключены. Свойство management.endpoints.web.exposure.include можно использовать для включения актуаторов.
Если Spring Security находится на пути к классам, а другой WebSecurityConfigurerAdapter отсутствует, все актуаторы, кроме /health и /info, защищены автоконфигурацией Spring Boot. Если вы определите пользовательский WebSecurityConfigurerAdapter, автоконфигурация Spring Boot отключится, и вы получите полный контроль над правилами доступа к актуатору.
Перед настройкой management.endpoints.web.exposure.include убедитесь, что открытые актуаторы не содержат конфиденциальной информации и/или защищены, разместив их за брандмауэром или с помощью чего-то вроде Spring Security.
Защита от подделки межсайтовых запросов (CSRF protection)
Поскольку Spring Boot использует настройки по умолчанию Spring Security, защита от CSRF включена по умолчанию. Это означает, что конечные точки актуатора, которым требуются POST (конечные точки выключения и ведения журнала), PUT или DELETE, получат ошибку 403, когда используется конфигурация безопасности по умолчанию.
Рекомендуется полностью отключить защиту CSRF только в том случае, если вы создаете сервис, который используется не браузерными клиентами.
Читайте также:
Комментарии
Отправить комментарий