Apache Jackrabbit выбрасывает 403 в анонимном доступе WebDAV

Question

Я настроил Apache Jackrabbit 2.6.3 для использования WebDAV в анонимном режиме (пустые учетные данные сопоставляются с anonymous:anonymous).

Если я нажимаю на прямую ссылку на какой-либо файл (например, JPG или DOC), ошибка HTTP 403 вызывается сервером GlassFish. Если я нажму F5, 403 все еще там.

НО, если я просто нажать Enter в адресной строке в браузере на том же URL, все в порядке, и ресурс доступен.

Я думаю, что только различие является реферером в HTTP-заголовке.
Я искал любую информацию о подобной проблеме, но ничего не нашел.

Есть ли у кого-нибудь идеи, как заставить WebDAV (или Jackrabbit) обслуживать файлы в анонимном режиме, несмотря на ссылку или любую другую причину?

Answer 1

Я нашел решение.
В web.xml файле в разделе WebDAV следующая часть должна быть раскоментирован:

<init-param> 
     <param-name>csrf-protection</param-name> 
     <param-value>disabled</param-value> 
</init-param> 

С disabled как param-value.

В описании сказано:

Определяет поведение ссылающейся на основе защиты CSRF
1) Если он опущен или оставить пустой (по умолчанию) поведение является разрешить запросы только с
пустой заголовок реферера или хост-реферер, равный хосту сервера
2) Может также содержать список дополнительных разрешенных хостов-рефереров, разделенных запятыми
3) Если установлено значение «отключено», проверка ссылок не будет выполнена вообще