좋은 정보 공유네요. 처음에 spring security 적용하면 csrf 때문에 멘붕 상태에 빠지는 경우가 많은데 빠르게 해결했네요.

.csrf().requireCsrfProtectionMatcher(new AntPathRequestMatcher("!/h2-console/**")) .and().headers().addHeaderWriter(new StaticHeadersWriter("X-Content-Security-Policy","script-src 'self'")).frameOptions().disable()

저 같은 경우는 이렇게 쓰고 있네요. csrf를 모두 꺼버리는 부분이 불편하신 분은, 위 코드의 첫줄처럼 해보시는 것도 좋을 것 같습니다.

저같은 경우에 h2-console이 결국 로컬개발에서만 사용될거라서 로컬모드와 그외 모드로 나눠서 시큐리티 설정이 먹히도록 작업하고 있습니다.

    private final Environment env;

    public SecurityConfig(Filter ssoFilter, Environment env) {
        this.ssoFilter = ssoFilter;
        this.env = env;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        // h2 console이 csrf 설정이 안먹히기 때문에 security 설정을 배포 환경에 따라 분리
        if(isLocalMode()) {
            setLocalMode(http);
        } else {
            setRealMode(http);
        }
    }

    private boolean isLocalMode() {
        String profile = env.getActiveProfiles().length > 0? env.getActiveProfiles()[0] : "local";
        return profile.equals("local");
    }

    private void setLocalMode(HttpSecurity http) throws Exception {
        http.antMatcher("/**")
                .authorizeRequests()
                .antMatchers("/", "/me", "/h2-console/**", "/login/**", "/js/**", "/css/**", "/image/**", "/fonts/**", "/favicon.ico").permitAll()
                .and().headers().frameOptions().sameOrigin()
                .and().csrf().disable()
                ;
    }

    private void setRealMode(HttpSecurity http) throws Exception {
        http.antMatcher("/**")
                .authorizeRequests()

                .and().csrf().csrfTokenRepository(csrfTokenRepository())
                .and().addFilterAfter(csrfHeaderFilter(), CsrfFilter.class)
                ;
    }