我正在使用Spring Security和无状态Web服务。我想在Spring Security 3.2中使用CSRF功能。使用无状态网络应用程序是否可能?
这是相关的Java Config,因为我暂时不得不禁用CSRF。
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.sessionFixation().none().and()
.csrf().disable();
}
答案 0 :(得分:1)
如果您的服务真的是无状态,那么CSRF保护根本就没有意义。只要服务器不使用cookie来识别/验证用户,您的服务就不容易受到CSRF攻击。
有关详细说明,请参阅http://sitr.us/2011/08/26/cookies-are-bad-for-you.html