ACTUALIZACIÓN (enero de 2014): Spring Security 3.2 contiene una implementación de CSRF-Token.
para la primavera de Seguridad < = 3.1:
Debido CSRF ha señalando que ver con la primavera Secruity (Autenticación & autorización) tanto pueden implementarse por separado el uno del otro.
Existen algunas implementaciones de CRSF basadas en filtros. Por ejemplo hay uno incluido con Tomcat 7, y Tomcat 6.0.algo
Cuando probé a usarlos (en el verano de 2011) no tengo la sensación de que funcione bien. Así que implementé el mío.
EDITAR (abril de 2012): Mi Implementación trabaja con Spring 3.0, si está utilizando Primavera 3.1, a continuación, echar un vistazo a Eyal Lupu's answer y su Blog que utiliza algunos de Primavera 3.1 características para el manejo del filtro es más fácil.
No lo he hecho público hasta ahora (no hay tiempo). Pero lo harás. Puede descargarlo (esta es la primera vez que utilizo 4shared.com, espero que funcione):
El inconveniente de mi aplicación es, que necesita para agregar el token explícito a cada formulario que envíe POST, DELETE, PUT.
JSP (x):
xmlns:crsf="http://www.humanfork.de/tags/de/humanfork/security/crsf"
...
<form ...>
<crsf:hiddenCrsfNonce/>
....
</form>
Web.xml
<filter>
<filter-name>IdempotentCrsfPreventionFilter</filter-name>
<filter-class>de.humanfork.security.crsf.IdempotentCsrfPreventionFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>IdempotentCrsfPreventionFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
Tiene usted razón, la primavera no tiene ese apoyo. Pero, ¿cuál es la pregunta? – Ralph
Ok. Un signo de interrogación había estado perdido. Lo siento. ¿Hay una biblioteca que cubra Spring Security + Spring MVC con protección CSRF? ¿O es suficiente para cubrir Spring MVC ya que CSRF solo es dañino mientras el usuario está autenticado? –