28.4 Actuator Security

出于安全考虑,除/health/info之外的所有actuators(执行器)都被默认禁用.management.endpoints.web.exposure.include属性可用于启用actuators(执行器).

如果类路径下存在Spring Security且没有其他WebSecurityConfigurerAdapter存在,得益于Spring Boot的自动配置,actuators(执行器)将获取安全. 如果您定义一个自定义WebSecurityConfigurerAdapter,Spring Boot的自动配置将回退,你将完全控制actuators(执行器)的访问规则.

Note

在设置management.endpoints.web.exposure.include属性之前,确保暴露的actuators(执行器)未包含敏感信息且或通过防火墙或类似于Spring Security隔离获取安全.

Cross Site Request

由于Spring Boot依赖于Spring Security的默认设置,所以默认情况下CSRF保护是打开的.这意味着当开启使用默认安全配置时,actuator(执行器)端点需要的POST(关闭和日止端点),PUTDELETE操作将会得到一个403禁止错误.

Note

我们强烈建议完全禁用CSRF保护,当且只有你创建的服务只在非浏览器客户端使用时开启.

关于CSRF保护的更多信息可以在Spring Security Reference Guide中找到.