标签: security spring-security csrf
我正致力于基于弹簧的项目的安全性,并且我找到了这个过滤器:spring-security-csrf-filter
它承诺在每个响应中添加csrf标记,我问你,它安全吗?
我无法找到关于何时返回令牌的最佳做法。
我使用此过滤器进行了一些测试,结果是即使我请求不存在的端点,spring也会返回令牌。
答案 0 :(得分:0)
为什么Spring有一个内置的随机过滤器?
从什么安全?你的威胁模型是什么?
在每个响应中都可以返回CSRF令牌,即使您不使用它也是如此。同源策略阻止其他站点读取响应。