簡體 English 中英

IS Spring Security SPNEGO API CSRF安全嗎？

[英]IS Spring Security SPNEGO API CSRF safe?

原文 2016-06-09 08:02:31 7 1 spring/ spring-security/ kerberos/ spring-security-kerberos

我在我的應用程序中實現了針對Single Singh On的Spring Security extentions SPNEGO API。 任何人都可以幫助我知道，kerberos協議或SPNEGO是CSRF安全嗎？ 即使我已經實施了SPNEGO，我還需要明確地實施CSRF安全嗎？

1 個解決方案

只要有任何自動向服務器發送身份驗證信息的內容，您就需要實施CSRF保護。 據我所知，只有兩種機制是基於SPNEGO的cookie和Kerberos / NTLM。 使用SPNEGO，列入白名單的域將在每個請求中獲得您的kerberos令牌。 攻擊者可以制作表單並欺騙用戶提交表單，如果目標是具有SPNEGO支持的API，瀏覽器被列入白名單以發送令牌，則可以欺騙用戶發送他們不想要的身份驗證信息。 就像身份驗證cookie一樣。

來源： https ： //www.computerweekly.com/tip/CSRF-attack-How-hackers-use-trusted-users-for-their-exploits和https://security.stackexchange.com/a/190903/12776

彈簧安全 spnego ldap jwt

[英]spring security spnego ldap jwt

Spring Security / SPNEGO身份驗證問題：校驗和失敗

[英]Spring Security/SPNEGO authentication issue: Checksum failed

Spring Security和CSRF攻擊

[英]Spring Security and CSRF attack

CSRF和Spring Security

[英]CSRF and Spring Security

¿我怎樣才能為我的api禁用CSRF彈簧安全？

[英]¿How i can disable CSRF only for my api with spring security?

使用 spring-security SPNEGO 時如何使用多個 SPN

[英]How to use multiple SPNs when using spring-security SPNEGO

使用 Spring Security 的 CSRF 保護

[英]CSRF Protection using Spring Security

Spring Security，Rest Authentication和CSRF

[英]Spring Security, Rest Authentication and CSRF

禁用CSRF的Spring Security 405

[英]Spring security 405 with disabled csrf

Spring 安全性 - 使用 REST 方法的 CSRF

[英]Spring security - CSRF with REST methods

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 彈簧安全 spnego ldap jwt Spring Security / SPNEGO身份驗證問題：校驗和失敗 Spring Security和CSRF攻擊 CSRF和Spring Security ¿我怎樣才能為我的api禁用CSRF彈簧安全？使用 spring-security SPNEGO 時如何使用多個 SPN 使用 Spring Security 的 CSRF 保護 Spring Security，Rest Authentication和CSRF 禁用CSRF的Spring Security 405 Spring 安全性 - 使用 REST 方法的 CSRF

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM