Wie wird die CSRF-Funktion von Spring Security für zustandslose Endpunkte verwendet?

Ich verwende Spring Security mit einem zustandslosen Webdienst. Ich möchte die CSRF-Funktionen in Spring Security 3.2 verwenden. Ist das mit einer zustandslosen Web-App möglich?Wie wird die CSRF-Funktion von Spring Security für zustandslose Endpunkte verwendet?

Dies ist die relevante Java Config, da ich CSRF vorerst deaktivieren musste.

@Override 
protected void configure(HttpSecurity http) throws Exception { 
    http 
      .sessionManagement() 
       .sessionCreationPolicy(SessionCreationPolicy.STATELESS) 
       .sessionFixation().none().and() 
      .csrf().disable(); 
}

Quelle

2013-12-16 checketts

Ist Ihr Web-Service überhaupt in einem Web-Browser verwendet werden? –

Ja. In erster Linie in einer einzelnen Seite Web-App (AngularJS) verwendet – checketts

Siehe: http://blog.jdriven.com/2014/10/stateless-spring-security-part-1-stateless-csrf-protection/ – Dherik

Wenn Ihr Dienst wirklich zustandslos ist, macht CSRF-Schutz möglicherweise keinen Sinn. Solange der Server keine Cookies verwendet, um den Benutzer zu identifizieren/zu authentifizieren, ist Ihr Dienst nicht anfällig für CSRF-Angriffe.

Eine detaillierte Erklärung finden Sie http://sitr.us/2011/08/26/cookies-are-bad-for-you.html

Quelle

2017-04-17 15:07:26 CrimsonCricket

Wie wird die CSRF-Funktion von Spring Security für zustandslose Endpunkte verwendet?

Antwort

Verwandte Themen