#spring-boot #rest #spring-security #csrf #csrf-token
#весенняя загрузка #rest #spring-безопасность #csrf #csrf-токен
Вопрос:
Использование токена CSRF в rest API полезно или нет? насколько я знаю, у нас нет сеанса, поэтому мы должны отправить токен клиенту для следующего запроса или для отправки формы.
Полезно ли снова использовать его в вызовах ajax (xhr). есть ли какие-либо альтернативы?
Я читал документы spring для этого, и в нем также есть несколько примеров. но мне было любопытно, действительно ли это полезно или нет?
Кстати, мой сервер — spring 2.2, а мой клиент — Angular 9.
Спасибо
Ответ №1:
Токены CSRF необходимы для предотвращения XSS-атак, например, вы вошли в свой банк на одной вкладке и посещаете мой вредоносный сайт, который отправит скрытую форму в ваш банк, похитив номер вашей кредитной карты.
Если вы хотите создать более безопасный сайт, каждый запрос, который управляет состоянием в серверной части (POST, PUT, DELETE и т. Д.), Должен содержать маркер CSRF, Чтобы гарантировать, что запрос поступил из форм на вашем сайте и только на вашем сайте.
Вы можете прочитать больше о токенах CSRF на веб-странице Owasps.
Комментарии:
1. дело в том, что если я отправляю токен пользователю без использования сеанса, чтобы конечный пользователь мог получить токен csrf, а также другие токены. мой вопрос в том, будет ли это правильным механизмом для предотвращения отправки формы????