spring-security 如何将Spring Security的CSRF特性用于无状态端点？

yxyvkwin 于 2022-11-11 发布在 Spring

关注(0)|答案(2)|浏览(132)

我正在使用Spring Security和无状态Web服务。我想使用Spring Security 3.2中的CSRF功能。这对无状态Web应用程序来说可能吗？
这是相关的JavaConfig，因为我必须暂时禁用CSRF。

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
            .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .sessionFixation().none().and()
            .csrf().disable();
}

spring-security

来源：https://stackoverflow.com/questions/20622862/how-to-use-spring-securitys-csrf-feature-for-stateless-endpoints

2条答案

按热度按时间

jfewjypa1#

如果您的服务真的是无状态的，CSRF保护可能根本没有意义。只要服务器不使用cookie来识别/验证用户，您的服务就不容易受到CSRF攻击。
有关详细说明，请参见http://sitr.us/2011/08/26/cookies-are-bad-for-you.html

赞(0）回复(0）举报 2022-11-11

ebdffaop2#

如果您的应用程序或API将被浏览器访问，则需要CSRF保护。
参考演示：Spring安全和Angular
https://spring.io/guides/tutorials/spring-security-and-angular-js/#_the_login_page_angular_js_and_spring_security_part_ii

赞(0）回复(0）举报 2022-11-11

我来回答

spring-security 如何将Spring Security的CSRF特性用于无状态端点？

2条答案

相关问题

热门标签

最新问答