一转眼, spring security 已经发布4.1 了,查看
了下新特性,有两个比较值得关注:
1) 可以在pathvariable形式的URL中进行保护了
比如有个方法:
[code="java"]
public class WebSecurity {
public boolean checkUserId(Authentication authentication, int id) {
...
}
}
[/code]
则可以用这个配置进行防护
<http>
<intercept-url pattern="/user/{userId}/**"
access="@webSecurity.checkUserId(authentication,#userId)"/>
...
</http>
这样,凡是/user/{userId}/**这样rest形式的url,都可以调用方法进行保护了
2) 支持Content Security Policy (CSP)
什么是CSP?W3C的Content Security Policy,简称CSP。顾名思义,这个规范与内容安全有关,主要是用来定义页面可以加载哪些资源,减少XSS的发生。
具体参考文章:https://www.ongod.org/1149.html
http://www.html5rocks.com/en/tutorials/security/content-security-policy/
http://open.chrome.360.cn/extension_dev/contentSecurityPolicy.html