标签: java spring rest security csrf
鉴于我有一个RESTful JSON服务,一个React前端,并且CSRF令牌是在服务器端生成的(绑定到该会话,并且仅针对新会话进行更改);将CSRF令牌返回到前端的最合适和最安全的方法是什么?
我目前正陷入使UI向某个新端点发出GET以在发布之前检索令牌的痛苦,或者一旦用户登录就在响应头(针对每个响应)中将其返回(我可以将其存储)直到需要时都处于UI状态。在这两种情况下,我都会在任何相关请求中将令牌添加为标头。