我在Spring安全配置中启用了csrf令牌。但移动设备如何接收csrf令牌?当我有jsp时,它看起来像:
<input type='hidden' name='${_csrf.parameterName}' value='${_csrf.token}'/>
但是现在我没有jsp ...所以任何方式手动发送csrf?
答案 0 :(得分:1)
一种流行的做法是编写过滤器以将令牌附加为cookie。然后,您的客户端首先发送GET请求以获取该cookie。对于后续请求,该cookie随后将作为标头发回。
您可以查看官方Spring Angular guide,并参阅Spring Lemon的源代码以获取详细的实施。
答案 1 :(得分:0)
您可以实施无状态CSRF保护。一个解决方案nicely explained by Robbert van Waveren是让客户端生成并在Cookie和自定义HTTP标头中发送相同的唯一秘密值:
考虑到网站只允许读取/写入Cookie 拥有自己的域,只有真实站点可以在两者中发送相同的值 头。使用这种方法,您的服务器所要做的就是检查是否 在每个请求的无状态基础上,两个值都是相等的!
答案 2 :(得分:-1)
如果启用了CSRF,则必须在要登录或注销的页面中包含_csrf.token。否则,登录和注销功能都将失败。
Refer this获得更多帮助。
编辑:您可以从请求中获取csrf令牌并根据需要发送。我已经分享了两个csrf令牌的引用请仔细阅读。它会对你有所帮助。