我有一个使用struts2框架用Java编写的Web应用程序,只使用REST协议的后端API。虽然它确实使用cookie来验证和授权请求,但我没有在其中添加任何前端代码。我为前端创建了另一个项目,它使用这些API并呈现UI。
我的问题是如何在我的后端应用程序中实现CSRF保护?由于我不想在Java代码中实现前端,我不能在表单中使用struts' "merits":[
{
"merit_id":47
},
{
"merit_id":51
},
{
"merit_id":56
}
]
,因此我无法使用<s:token>
和TokenInterceptor
。
有什么方法可以让我的应用CSRF证明吗?
请指出此查询是否可能重复。