工程 | Rob Winch | 2013 年 8 月 23 日 | ...

更新

注意本博客文章不再维护。请参阅头部文档以获取有关 Spring Security 头部信息的最新信息。

原文

这是我关于 Spring Security 3.2.0.RC1 两部分系列文章的最后一篇。我的上一篇帖子讨论了 Spring Security 的 CSRF 保护。在这篇帖子中，我们将讨论如何使用 Spring Security 添加各种响应头部以帮助保护您的应用程序。

安全头部

Spring Security 3.2.0.RC1 中的许多新功能是通过向响应添加头部实现的。这些功能的基础来自于 Marten Deinum 的辛勤工作。如果这个名字听起来耳熟，可能是因为他在 Spring 论坛上的 10K+ 帖子之一曾帮助过您。

如果您使用 XML 配置，可以使用 Spring Security 的元素且不包含子元素来向响应添加所有默认头部

<http ...>
    ...
    <headers />
</http>

如果您使用 Spring Security 的 Java 配置，所有默认的安全头部都会默认添加。可以使用下面的 Java 配置来禁用它们

```xml @EnableWebSecurity @Configuration public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

@Override protected void configure(HttpSecurity http) throws Exception { http .headers().disable() ...; } }


<p>The remainder of this post will discuss each of the default headers in more detail:</p>
<ul>
<li><a href="#cache-control">Cache Control</a></li>
<li><a href="#content-type-options">Content Type Options</a></li>
<li><a href="#hsts">HTTP Strict Transport Security</a…

Spring Data Redis 1.1 RC1 发布

发布 | Jennifer Hickey | 2013 年 8 月 23 日 | ...

亲爱的 Spring 社区，

我很高兴宣布 Spring Data Redis 1.1 的第一个候选发布版本！

下载 | JavaDocs | 参考文档 | 变更日志

要点包括

支持键过期命令的毫秒级精度
连接失败时重新订阅消息监听器
在 RedisMap 和 RedisProperties 中完全实现了 ConcurrentMap 契约

有关 Spring Data Redis 的更多信息，请访问主页查看实时示例和网络研讨会录像。

我们期待您在论坛或问题跟踪器中提供反馈。我们希望在即将于加州圣克拉拉举行的SpringOne 大会上见到您。查看日程安排并注册！

Spring Framework 3.2 和 SpringSource EBR

新闻 | Pieter Humphrey | 2013 年 8 月 23 日 | ...

从 3.2 版本开始，Spring Framework 的 JAR 文件，如 spring-core、spring-context 和 spring-webmvc，将不再包含带有 OSGi 元数据的 MANIFEST.MF 文件。同样，构建也不会自动提升到 SpringSource EBR。为了确保 OSGi 用户能够升级到 Spring Framework 3.2，SpringSource 将在 GA 版本发布后不久，通过一个单独的流程为 Spring Framework 3.2 GA 创建并发布 bundles 到 EBR。至少会发布一个 3.2 里程碑或候选发布版本，以便社区在 GA 之前验证 OSGi 元数据。请注意，Spring Framework 3.1.x 系列的任何未来版本将继续包含 OSGi 元数据，并将像往常一样立即发布到 EBR。感兴趣的用户可以关注 SPR-8903 以接收进一步的更新通知，例如当 Spring Framework 3.2 bundles 发布到 EBR 时。

新加坡 Spring - Hadoop 免费大会

新闻 | Michael Isvy | 2013 年 8 月 22 日 | ...

我们很高兴地宣布，我们将于 8 月 30 日（星期五）下午 6 点至 8 点在新加坡市中心举办一场关于 Spring 和 Hadoop 的免费大会。

Spring 最佳实践：从 Spring Petclinic 到 Spring Data Hadoop

Michael Isvy 于 2008 年加入 SpringSource（Spring 背后的公司，现隶属于 Pivotal）。自那时起，他已在 10 个不同国家教授 Spring 课程给超过 1000 名学生。他曾在众多会议上发表演讲，并且是 SpringSource 博客上的活跃技术博主。Michael 在 SpringSource 担任亚太地区教育经理一职……

Spring Security 3.2.0.RC1 要点：CSRF 防护

工程 | Rob Winch | 2013 年 8 月 21 日 | ...

[提示标题=更新]

本博客文章不再维护。请参阅 CSRF 文档以获取有关 Spring Security 和 CSRF 防护的最新信息。

[/提示]

周一我宣布了 Spring Security 3.2.0.RC1 的发布。这是关于 Spring Security 3.2.0.RC1 新功能的两部分博客系列文章的第一篇。

在第一篇中，我将介绍 Spring Security 的 CSRF 支持。在下一篇帖子中，我将介绍已添加的各种安全头部。

CSRF 攻击

Spring Security 添加了针对跨站请求伪造（CSRF）攻击的防护。太棒了，但 CSRF 攻击是什么？Spring Security 又如何保护我免受其害？让我们来看一个具体的例子以便更好地了解……

Spring Security 3.2.0.RC1 发布 (08/2013)

工程 | Rob Winch | 2013 年 8 月 19 日 | ...

Spring Security 3.2.0.RC1 现已可从 SpringSource 仓库 http://repo.springsource.org 获取。请参阅此处，获取通过 Maven 解析这些 artifacts 的快速教程。

此版本包含大量更新和修复。要点包括

完善 Spring Security Java 配置

当启用多种认证机制（即 HTTP Basic 和表单登录）时，使用内容协商来确定如何提示用户进行认证

AbstractSecurityWebApplicationInitializer 允许直接注册 Java 配置

修复了许多 bug

CSRF 防护并自动集成 Spring Web MVC jsp 标签

自动缓存控制支持

防范点击劫持攻击

支持 HTTP Strict Transport Security 以减少中间人攻击

示例中包含 pom.xml 文件，因此可以作为 Maven 项目导入

使用MediaTypeRequestMatcher进行内容协商匹配请求

超过十个 Java 配置示例已集成到 samples 目录中

三个新指南，带领用户学习示例并提供详细的任务执行说明。更多此类指南将在未来的版本中发布

有关此版本的更多详细信息，请参阅Spring Security 3.2.0.RC1 预览。

SpringOne2GX

要了解 Spring Security 3.2 中的所有新功能，请参加我于 2013 年 9 月 9 日至 12 日在 SpringOne2GX 上进行的Spring Security 3.2 入门演示。如果您还没有购票，请尽快购买，以免错过！

变更日志 | 下载 | 参考手册 | 指南 | 常见问题

本周 Spring - 2013 年 8 月 13 日

工程 | Josh Long | 2013 年 8 月 14 日 | ...

欢迎回到新一期的《本周 Spring》。照例，我们有很多内容要讲，那就开始吧！

How to do in Java 博客有一篇不错的文章，介绍了如何使用 Spring Security 3 设置 Siteminder 预认证。
另一场精彩的SpringOne2GX 2013 会议已被添加到 SpringOne2GX 2013 日程中，即使用 Spring 进行实时分析。本次演讲介绍了Project Reactor的一个用例，它是 JVM 上异步应用程序的基础。
Andy Clement 刚刚发布了 AspectJ 的新版本 1.8.0.M1，该版本将在 Spring 4 中使用并支持 Java 8。它可通过 SpringSource Maven 仓库获取，版本号为 1.8.0.M1。它也包含在今天发布的适用于 Eclipse 4.3 的 AJDT 中。
GoPivotal 博客对 Apache Tomcat 8 进行了深入探讨。绝对值得一看！
Eberhard Wolff 制作了一个非常好的视频，介绍了如何使用最近发布的 Spring Boot。干得好，Eberhard！（一如既往）
我们的朋友 Petri Kainulainen 写了一篇非常酷的帖子，关于单元测试 Spring MVC REST API。
Being Java Guys 博客有一篇代码量很大的帖子，介绍了如何使用 Spring MVC 进行文件上传。干得好！
Matthew's Thoughts! 博客的这篇帖子解释了一个简单的 Spring REST 入门项目，该项目演示了如何使用常规的 Spring Security 为 Spring MVC 支持的 REST 服务添加基于用户名和密码的认证。
Code with Zen Mind 博客有一个关于构建和测试 Spring MVC 应用程序的系列文章。第一篇介绍了如何设置一个测试驱动的项目。第二篇演示了如何进行重构以及如何引入新的测试用例。第三篇演示了如何使用前两篇文章中建立的测试来应对一次重大的重构（被测试服务的实现发生了变化）。非常有启发性！
public static void blog() 博客的这篇帖子介绍了 Spring 的日志分层是如何工作的。这篇帖子是用 Google Translate 坚持认为是斯洛伐克语写的，然而，翻译得相当不错，而且——老实说——图表本身就很有解释性！好东西。看一下，如果可能的话，读一下。
Eclipse 的 Cloud Foundry 集成 1.5 版本，支持将应用程序推送到 Pivotal Cloud Foundry 组织和空间，使用新的 Cloud Foundry 服务，并从 Spring Tool Suite 增量更新应用程序。新集成可以从 STS 仪表板安装，或使用 Help > Install New Software 菜单中的更新站点进行安装。

Spring XD 1.0 里程碑 2 发布

发布 | Mark Pollack | 2013 年 8 月 14 日 | ...

今天，我们很高兴地宣布 Spring XD 的 1.0 M2 版本（下载）发布了。Spring XD 是一个统一、分布式、可扩展的系统，用于数据摄取、实时分析、批量处理和数据导出。该项目的目标是简化大数据应用程序的开发。

Spring XD 的第二个里程碑版本引入了几个新功能，这些功能使得摄取和处理实时数据流以及编排基于 Hadoop 的批量作业变得更加容易。在本博客文章中，我们将介绍

Shell
新的源、接收器和传输
DSL 改进
批量作业

Shell

最值得注意的新功能是引入了交互式 shell。shell 为您提供了一种创建新流和作业、查看指标、与 Hadoop 交互等方面的简便方法。作为对 shell 的介绍，我将重做 M1 博客文章中的一些示例。

开始……

SpringSource 培训日程：2013 年 9 月

新闻 | Mark Baars | 2013 年 8 月 9 日 | ...

如果您是一位希望提升 Spring 知识的 Java 开发人员，Pivotal 提供的 Spring 培训是您的首选。我们在全球范围内提供多种 Spring 培训课程，这些课程与您作为专业开发人员的需求紧密相关。本月我们在马萨诸塞州波士顿提供新的为期 4 天的 Groovy 和 Grails 课程。SpringSource 也已开始在湾区、德国、伦敦（英国）和美国（在线课程）提供新的 Hibernate with Spring 课程。

以下是 2013 年 9 月完整的 Spring 培训日程

第一步：核心 Spring

美洲