那些遇到过的问题

对于仅使用JSON的后端REST应用程序,CSRF是强制性的吗?

Ada*_*ion 7 security rest spring csrf

许多资源声称(source1中)(源2)

对于RESTful Web服务公开的资源,确保任何PUT,POST和DELETE请求免受跨站点请求伪造的影响非常重要.

所有应用程序都必须使用CSRF,而对Web安全性的关注度最低

然而,Spring Security文档说:

对普通用户可以由浏览器处理的任何请求使用CSRF保护.如果您只创建非浏览器客户端使用服务,则可能需要禁用CSRF保护.

那么,是否可以为应用程序禁用CSRF?

  • 仅公开REST API
  • 仅使用JSON(检查请求Content-Type标头)

zde*_*ine 3

这取决于您的 API 的客户端。CSRF 攻击的基础是客户端在 HTTP 请求中自动发送所请求 URL 的 cookie(授权)。如果您的客户端没有这样做(通常浏览器会自动这样做),那么您应该没问题。

原因是:如果您的 API 使用者未通过 cookie(由浏览器自动存储)在您的应用程序中进行身份验证/授权,攻击者无法使用任何其他网页进行成功的 CSRF 攻击(从其他页面发送带有 cookie 的 HTTP 请求)来自浏览器的 API)。

换句话说,我无法想象你的API客户端会以某种方式编写,它可以向你的API发送请求,存储cookie(你的身份验证),并且还可以以某种方式向你显示一些“愚蠢”用户交互的内容 - 发送使用先前 API 请求中的 cookie(您的身份验证)向您的 API 发出请求。

归档时间:

查看次数:

1852 次

最近记录:

7 年,1 月 前
相关归档
来自REST API的JSON响应中是否应包含空值? 44
Spring Controller中的PathVariable 23
使用hibernate sessionFactory还是JPA entityManager? 14
你如何为构造函数依赖注入编写一个 Akka Typed Extension for Spring? 9
Laravel 5:POST无需CSRF检查 6
如何使用Restful api在Spring中自动修剪bean对象的字符串? 6
basicHttpBinding和webHttpBinding在一起 5
OpenID是垃圾邮件发送者利润丰厚的目标吗? 4
你应该在这个情境下加密app.config和web.config中的数据吗? 3
Django REST 框架:需要登录才能查看 API 2
难疑归档
为什么Java的+ =, - =,*=,/ =复合赋值运算符需要转换? 3547
在一行中捕获多个异常(块除外) 2521
忽略已提交到Git存储库的文件 2429
如何在Git中更改多个提交的作者和提交者名称以及电子邮件? 2282
Git获取远程分支 2088
迭代对象属性 1904
npm package.json文件中依赖项,devDependencies和peerDependencies之间有什么区别? 1872
如何调试Node.js应用程序? 1531
type()和isinstance()之间有什么区别? 1163
检查SQL Server中是否存在表 1068