有许多教程展示了如何禁用csrf,
csrf().disable()
字符串(and其他可能性,如.properties,.yml等),但没有解释为什么他们这样做?所以我的问题是禁用它的现实原因是什么?它是否提高了性能?
.properties
.yml
wribegjk1#
禁用它的现实原因是什么?Spring文档建议:我们的建议是使用CSRF保护的任何请求,可以由浏览器处理的普通用户。如果您只创建非浏览器客户端使用的服务,则可能需要禁用CSRF保护。它能提高性能吗?它不应该影响性能。过滤器(或其他组件)将从请求处理链中删除,以使该功能不可用。在Sping Boot 应用程序中禁用csrf的原因是什么?1.您正在使用另一种令牌机制。1.您希望简化客户端和服务器之间的交互。
csrf
ncecgwcz2#
Spring建议在服务浏览器客户端时使用它,否则可能会被禁用:我们的建议是使用CSRF保护的任何请求,可以由浏览器处理的普通用户。如果您只创建由非浏览器客户端使用的服务,则可能需要禁用CSRF保护。我会补充说,即使你服务于浏览器客户端,但它只在内部使用,你可能想要/能够删除它。
8hhllhi23#
是的,如果您有一个无法隐藏的不同身份验证机制,则禁用它是安全的。对于内部企业应用程序,没有太多的关注。我们必须禁用它,因为它会干扰我们现有的身份验证机制。
3条答案
按热度按时间wribegjk1#
禁用它的现实原因是什么?
Spring文档建议:
我们的建议是使用CSRF保护的任何请求,可以由浏览器处理的普通用户。如果您只创建非浏览器客户端使用的服务,则可能需要禁用CSRF保护。
它能提高性能吗?
它不应该影响性能。过滤器(或其他组件)将从请求处理链中删除,以使该功能不可用。
在Sping Boot 应用程序中禁用
csrf的原因是什么?1.您正在使用另一种令牌机制。
1.您希望简化客户端和服务器之间的交互。
ncecgwcz2#
Spring建议在服务浏览器客户端时使用它,否则可能会被禁用:
我们的建议是使用CSRF保护的任何请求,可以由浏览器处理的普通用户。如果您只创建由非浏览器客户端使用的服务,则可能需要禁用CSRF保护。
我会补充说,即使你服务于浏览器客户端,但它只在内部使用,你可能想要/能够删除它。
8hhllhi23#
是的,如果您有一个无法隐藏的不同身份验证机制,则禁用它是安全的。对于内部企业应用程序,没有太多的关注。我们必须禁用它,因为它会干扰我们现有的身份验证机制。