那些遇到过的问题

如何将Spring Security的CSRF功能用于无状态端点?

che*_*tts 10 java csrf spring-security

我正在使用Spring Security和无状态Web服务.我想在Spring Security 3.2中使用CSRF功能.这是否可能与无状态的网络应用程序?

这是相关的Java Config,因为我暂时不得不禁用CSRF.

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
            .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .sessionFixation().none().and()
            .csrf().disable();
}
Run Code Online (Sandbox Code Playgroud)

小智 3

如果您的服务确实是无状态的,CSRF 保护可能根本没有意义。只要服务器不使用 cookie 来识别/验证用户,您的服务就不易受到 CSRF 攻击。

详细解释请参见http://sitr.us/2011/08/26/cookies-are-bad-for-you.html

归档时间:

查看次数:

1635 次

最近记录:

8 年,10 月 前
相关归档
Java中的全局变量 202
如何检查我的字符串是否等于null? 166
使用Scala中的Option包装Java中的null返回方法? 92
什么是1美元的类文件名? 59
无法使用Selenium2(Webdriver)与Java一起启动IE浏览器 56
Java中BigDecimal的平方根 55
在没有XML配置的情况下初始化数据库,但使用@Configuration 43
JAX-RS:多条路径 42
MockMvc和Spring Security - Null FilterChainProxy 6
Spring 5 + WebFlux安全性+ JWT令牌 6
难疑归档
使用'for'循环迭代字典 2901
如何制作一系列功能装饰器? 2647
确定已安装的PowerShell版本 2543
如何使div 100%的浏览器窗口高度? 2016
比较Java枚举成员:==或equals()? 1645
从HTML页面重定向 1523
如何自动调整图像大小以适合div容器 1394
将零填充到字符串的最好方法 1309
Tab键== 4个空格并在Vim中的花括号后自动缩进 1224
如何正确强制推送Git? 1206