我有java spring mvc项目。我想知道如何保护我的webApp免受CSRF的侵害。我读过,Spring处理默认值,这是否意味着我不需要配置任何东西,我仍然安全?提前谢谢。
答案 0 :(得分:1)
如果您使用的是Spring Security,那么从版本4.0开始默认启用CSRF保护。
查看文档以确定您需要做什么:
Spring Security CSRF protection
它说,基本上,您需要确保您的应用使用正确的HTTP谓词:PATCH,POST,PUT和/或DELETE用于修改状态和POST而不是GET时发回敏感信息。
然后,由于默认情况下使用Spring Security启用CSRF保护,因此您只需在发送有效负载(表单,json等)时包含CSRF令牌。