相关疑难解决方法(0)

此问题仅针对防止跨站点请求伪造攻击.

具体来说:通过Origin头(CORS)保护和通过CSRF令牌保护一样好吗？

例:

• Alice使用她的浏览器登录(使用cookie)" https://example.com ".我假设她使用的是现代浏览器.
• Alice访问" https://evil.com ",evil.com的客户端代码对" https://example.com "(经典CSRF场景)执行某种请求.

所以:

• 如果我们不检查Origin头(服务器端),并且没有CSRF令牌,我们就有一个CSRF安全漏洞.
• 如果我们检查一个CSRF令牌,我们是安全的(但它有点乏味).
• 如果我们检查Origin标头,应该阻止来自evil.com的客户端代码的请求,就像使用CSRF令牌时一样 - 除非,如果有可能的话,evil.com的代码可以设置Origin标头.

我知道,如果我们相信W3C规范在所有现代浏览器中都能正确实现,那么XHR就不可能实现这一点(参见例如跨源资源共享的安全性),至少不是这样(我们可以吗？)

但是其他类型的请求呢 - 例如表单提交？加载脚本/ img/...标签？或者页面可以用来(合法地)创建请求的任何其他方式？或者也许是一些已知的JS黑客攻击？

注意:我不是在谈论

• 原生应用,
• 操纵浏览器,
• example.com页面中的跨站点脚本错误,
• ...

我试图在另一个应用程序(spring-boot应用程序)上调用REST端点(angularjs).应用程序在以下主机和端口上运行.

• REST应用程序,使用spring boot, http://localhost:8080
• HTML应用程序,使用angularjs, http://localhost:50029

我也在使用spring-securityspring-boot应用程序.从HTML应用程序,我可以对REST应用程序进行身份验证,但此后,我仍然无法访问任何REST端点.例如,我有一个如下定义的angularjs服务.

adminServices.factory('AdminService', ['$resource', '$http', 'conf', function($resource, $http, conf) {
    var s = {};
    s.isAdminLoggedIn = function(data) {
        return $http({
            method: 'GET',
            url: 'http://localhost:8080/api/admin/isloggedin',
            withCredentials: true,
            headers: {
                'X-Requested-With': 'XMLHttpRequest'
            }
        });
    };
    s.login = function(username, password) {
        var u = 'username=' + encodeURI(username);
        var p = 'password=' + encodeURI(password);
        var r = 'remember_me=1';
        var data = u + '&' + p + '&' + r;

        return $http({
            method: 'POST',
            url: 'http://localhost:8080/login',
            data: …