Question

对于一名普通的 Java 工程师来说，在处理系统保护时可能仅仅只是考虑到认证与授权，这无形中为系统带来巨大的安全风险。Spring Security 的优势之一就是为各种可能存在的漏洞提供了保护机制，而这些保护机制默认都是开启的，这也是我们选择 Spring Security 的原因之一，即不用开发者考虑太多事情，就可以开发出一套安全的权限管理系统。本章主要从 CSRF 攻击与防御、HTTP 响应头处理以及 HTTP 通信三个方面来介绍 Spring Security 在漏洞保护方面所做出的努力。

本章涉及的主要知识点有：

- CSRF 攻击与防御。

- HTTP 响应头处理。

- HTTP 通信安全。