Spring Boot 不需要 CSRF 令牌
[英]Spring Boot does not require CSRF token
问题描述
我有一个 Spring Boot 1.5.12 应用程序,默认启用 CSRF 保护。 我在提交 POST 请求时使用 CSRF 令牌。
但是,有一些 URLS 需要通过 GET 请求获取,带有 cookie 信息但不需要 CSRF 令牌,即
<a href="/stuff"><i class="stuff-xs"></i><span>Stuff</span></a>
如何强制我的 Spring Boot 应用程序也需要 CSRF 令牌来处理此类请求?
PS:我有一些关于 GET 请求不需要 CSRF 保护的评论。 但是,它也应该受到保护: https : //www.acunetix.com/websitesecurity/csrf-attacks/
2 个解决方案
解决方案1
1 2019-08-25 17:36:23
CSRF 的想法是防止修改您未启动的数据。 假设 GET 方法不能修改数据,这就是为什么在没有 CSRF 令牌的情况下调用任何 GET URL 是安全的。 但是,如果您在 GET 上实现了一些数据更改,那么您应该更改您的逻辑并将其移动到 PUT、POST、DELETE 或 PATCH 方法。
解决方案2
0 2019-08-25 17:04:34
如果我正确理解了这个问题,您想通过 GET 请求发送 CSRF 令牌。
但是 GET 或 HEAD HTTP 动词不需要 CSRF 保护。 他们对 CSRF 自动免疫。
CSRF 主要是欺骗用户在恶意网页上进行一些活动,然后在冒充受害用户的原始页面中触发 POST、PUT 或 DELETE 动词。
好消息是,由于同源策略,CSRF 无法读取任何内容。 它完全基于利用不安全的 HTTP 方法,如 POST、PUT 和 DELETE。
因此,GET 或 HEAD 动词不需要 CSRF cookie。
春季启动-在请求参数'_csrf'或标头'X-CSRF-TOKEN'上发现无效的CSRF令牌'null'
[英]Spring boot - Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'
spring如何使用_csrf参数或X-CSRF-TOKEN标头在内部验证csrf令牌?
[英]How does the spring internally validate the csrf token with _csrf parameter or X-CSRF-TOKEN header?
Spring 启动 -- 使用 CSRF 令牌发布请求产生 403 错误
[英]Spring Boot -- Post request with CSRF token produce 403 error
405 方法不允许,spring 启动,但我使用 csrf 令牌 header
[英]405 Method Not Allowed, spring boot, but i used csrf token header
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
如何使用 Spring 启动启用 CSRF 令牌
X-CSRF-TOKEN 不是由 Spring Boot 生成的
发现无效的 CSRF 令牌 - Spring 引导和 Axios
春季启动-在请求参数'_csrf'或标头'X-CSRF-TOKEN'上发现无效的CSRF令牌'null'
Spring Data JPA是否需要Spring Boot?
spring如何使用_csrf参数或X-CSRF-TOKEN标头在内部验证csrf令牌?
Spring 启动 -- 使用 CSRF 令牌发布请求产生 403 错误
405 方法不允许,spring 启动,但我使用 csrf 令牌 header
Spring启动csrf过滤器
春季靴子csrf和玉
相关标签