是否真的希望CSRF保护存在于基于REST的应用程序中?
我知道从服务器端提供JSP的Web应用程序需要它。但是我正在开发一个支持Spring Boot的REST服务,它将由Angular / Bootstrap前端使用。身份验证机制是基于JWT的。
任何人都能解释一下我可以期待什么样的CSRF攻击,因为我没有在后端REST服务中使用Spring的CSRF保护机制?
答案 0 :(得分:0)
由于REST应用程序应该是无状态,因此您无法实现传统的CSRF保护(包括在客户端和服务器上存储令牌,然后匹配它们)。
但是,如果您使用机制传递浏览器自动保留的凭据(例如Cookie或HTTP Basic Auth),您仍然可能容易受到CSRF攻击。
编写REST服务并使用其他内容(例如自定义HTTP请求标头)时,应避免使用此类方法进行身份验证。