Come utilizzare la funzionalità CSRF di Spring Security per gli end point stateless?

Sto utilizzando Spring Security con un servizio Web stateless. Mi piacerebbe utilizzare le funzionalità CSRF in Spring Security 3.2. È possibile con un'app web stateless?Come utilizzare la funzionalità CSRF di Spring Security per gli end point stateless?

Questa è la relativa configurazione di Java, dal momento che ho dovuto disabilitare CSRF per il momento.

@Override 
protected void configure(HttpSecurity http) throws Exception { 
    http 
      .sessionManagement() 
       .sessionCreationPolicy(SessionCreationPolicy.STATELESS) 
       .sessionFixation().none().and() 
      .csrf().disable(); 
}

fonte

2013-12-16 checketts

è il vostro servizio web per essere utilizzato all'interno di un browser web a tutti? –

Sì. Utilizzato principalmente in un'applicazione Web a pagina singola (AngularJS) – checketts

Vedere come: http://blog.jdriven.com/2014/10/stateless-spring-security-part-1-stateless-csrf-protection/ – Dherik

Se il servizio è davvero senza stato, la protezione CSRF potrebbe non avere alcun senso. Finché il server non utilizza i cookie per identificare/autenticare l'utente, il servizio non è vulnerabile agli attacchi CSRF.

Per una spiegazione dettagliata, vedere http://sitr.us/2011/08/26/cookies-are-bad-for-you.html

fonte

2017-04-17 15:07:26 CrimsonCricket

Come utilizzare la funzionalità CSRF di Spring Security per gli end point stateless?

risposta

Problemi correlati