Spring Security CSRF令牌存储库Cookie是否可以自动满足所有Ajax请求?

时间:2016-10-14 03:23:55

标签: angularjs ajax http spring-security csrf

我正在浏览以下security tutorial,并按照以下方式配置CsrfTokenRepository

.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());

是否只需要让Ajax请求在所有库中运行? $http的Angular文档说Angular读取Spring提供的CSRF cookie,并在发出请求时设置相应的头。所以我假设这样做是因为在发送Ajax请求时不会自动包含cookie?

[更新]

我再次阅读了该文章,并表示CSRF保护由header提供。因此,如果我以正确的方式解释这是因为客户端以独特的方式发回cookie值,这与提供CSRF保护的第一个地方发送的方式不同。换句话说,客户端收到cookie并改变它的发送方式,以便服务器知道客户端确实控制了cookie?

1 个答案:

答案 0 :(得分:0)

使用Spring CookieCsrfTokenRepository进行CSRF保护的工作方式如下:

  1. 客户端向服务器(春季后端)发出GET请求,例如请求主页
  2. Spring发送GET请求的响应以及包含安全生成的XSRF令牌的Set-cookie标头
  3. 浏览器使用XSRF令牌设置cookie
  4. 在发送状态更改请求(例如POST)时,客户端(Angular)将cookie值复制到HTTP请求标头中
  5. 同时发送标头和cookie(浏览器自动附加cookie)
  6. Spring比较标头和cookie的值,如果相同,则接受请求,否则将403返回给客户端

请注意,默认情况下,只有状态更改请求(POST,PUT,DELETE)受CSRF保护,并且只有在正确设计API后才需要保护这些请求(即GET请求没有副作用并修改应用程序的状态)例如)。

方法withHttpOnlyFalse允许angular读取XSRF cookie。确保Angular在X withCreddentials标志设置为true的情况下发出XHR请求。

相关问题
最新问题