防止CRSF无国籍

时间:2015-08-13 07:44:25

标签: api rest stateless

上下文

我实际上正在构建一个简单的REST API,我需要防范CSRF攻击。事实是,我是无国籍的,使用令牌,因此,我无法在会话中与CSRF进行比较......

问题

在没有使用会话的情况下,在完全无状态的环境中管理CSRF保护的模式或良好实践是否会引起其他人的兴趣?

1 个答案:

答案 0 :(得分:0)

如果您的API将对用户进行身份验证,您可以始终使用oauth2,它将阻止CSRF攻击。现在,如果您不需要身份验证,您可以随时使用可以为您完成工作的反向代理,这样您就不必再在应用程序层中处理CSRF了。