仅对身份验证禁用CSRF保护是否安全?

时间:2018-08-20 10:09:02

标签: spring-boot spring-security csrf spring-session

使用带有spring-session的Spring-boot,当用户注销并等待一段时间(会话到期时)后无法登录时,就会遇到问题。当我只是离开登录页面并在一段时间后尝试稍后登录时,也会发生同样的情况。 在两种情况下,我都会收到“无法验证CSRF令牌”错误。 here也对此进行了描述。

我发现那本书: 我的安全配置中的http.csrf().csrfTokenRepository(csrfTokenRepository).ignoringAntMatchers("/authenticate");可以解决此问题,但我担心此决定的安全性。

0 个答案:

没有答案