在我的基于Spring的rest API中,我正在使用带有HeaderHttpSessionStrategy的spring-session。鉴于根本没有使用cookie(会话ID作为标题发送),我还需要担心CSRF攻击吗?
我会说我很安全,并且我读过人们同意在这种情况下不需要CSRF保护,例如: https://security.stackexchange.com/questions/62080/is-csrf-possible-if-i-dont-even-use-cookies
然而,Spring的人认为,只要浏览器访问应用程序,您就需要CSRF保护:https://spring.io/blog/2015/01/12/the-login-page-angular-js-and-spring-security-part-ii。
答案 0 :(得分:1)
在我的观点中,如果您使用HeaderHttpSessionStrategy,则无法进行CSRF攻击。如果将标头标记保存为cookie,则实际上与XSRF保护的工作方式相同。所以XSRF保护不会给你任何额外的保护。
答案 1 :(得分:0)
我坚持与春天的家伙们。一般来说,他们知道他们在谈论什么。 CSRF攻击包括在您的请求传输过程中运行的恶意代码,假装请求来自您。
启用CSRF除了向表单添加隐藏字段外,不会造成任何伤害,它可以保护您的Web应用程序免受此类攻击。那为什么不用呢?