我通过单页应用访问了许多服务。我希望在这些应用程序中启用CSRF,但如果它们各自拥有自己的CSRF令牌存储库,那么即使它们共享同一会话,我也会遇到针对不同应用程序的不同令牌问题。
是否存在共享CSRF令牌存储实现,其中服务共享公共令牌生成/验证机制?
答案 0 :(得分:2)
在Spring Security中,默认情况下CSRF令牌存储在会话中(请参阅HttpSessionCsrfTokenRepository
)。因此,如果您的应用程序共享同一会话,则应将它们配置为共享CSRF令牌。