[英]Is it safe to include a CSRF token for a REST service as a Http Response Header?
我有一組受CSRF保護的REST服務,使用的是類似於OWASP的同步器令牌模式( https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet )的服務。 *使用Java和JAX-RS實現REST *使用Spring Security CSRF令牌實現安全性* HTTP PUT,POST和DELETE受保護
在我的Web應用啟動時,我在HTML頁面中編寫了正確的CSRF令牌,然后該應用程序在每個請求的請求標頭中都將令牌包括為“ X-CSRF-HEADER”。
我也有直接訪問URL的客戶端(例如,curl命令行等)。
備用客戶端需要以某種方式獲取CSRF令牌(當然在經過身份驗證之后)。
將令牌作為GET請求的HTTP響應標頭包括在內是否安全? 如果是這樣,那么我可以將其包含在Response Header中,而客戶端可以讀出它並將其包含在將來的Request Header中。
這樣安全嗎?
通常認為在響應頭中包含CSRF令牌是安全的。 就像請求的主體一樣,響應標頭在SSL響應中被加密,並且不能跨域訪問。 默認情況下,不會將CSRF令牌呈現給響應的原因是為了確保我們將創建會話的時間推遲到必要時。 有關詳細信息,請參見SEC-2276
錯誤HTTP狀態403-在請求參數'_csrf'或標頭'X-CSRF-TOKEN'上發現無效的CSRF令牌'null'
[英]Error HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'
在 spring 上啟用的 csrf 雲網關不會在響應 header 中添加 csrf 令牌
[英]csrf enabled on spring cloud gateway does not add the csrf token in the response header
使用 HTTP 不是 200 的 REST 服務時獲取響應和 header
[英]Obtain the response and header when consuming a REST service with HTTP other than 200
如何在 REST Z2567A5EC9705EB7AC2C984033E0618 中使用 json 生成 http 響應?
[英]how to generate http response using json in REST web service?
無法在Restlet Web服務的http響應標頭中設置狀態原因
[英]Unable to set status reason in http response header in Restlet Web service
春季啟動-在請求參數'_csrf'或標頭'X-CSRF-TOKEN'上發現無效的CSRF令牌'null'
[英]Spring boot - Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'
spring如何使用_csrf參數或X-CSRF-TOKEN標頭在內部驗證csrf令牌?
[英]How does the spring internally validate the csrf token with _csrf parameter or X-CSRF-TOKEN header?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
