我有带有JWT auth的Spring引导应用程序,效果很好! 但是我已使用无状态策略禁用了csrf:
.csrf()
.disable()
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
此Rest API适用于SPA React应用程序。我读到当我使用JWT令牌时,不需要设置csrf令牌。 JWT是否像csrf保护(HOW)一样工作?我认为这不是csrf保护。
答案 0 :(得分:3)
CSRF攻击是利用浏览器始终在向被请求服务器的请求中包含cookie(包括会话ID)这一事实这一事实,因此攻击者在执行恶意操作时假装自己是真正的用户。
如果您的端点是无状态的(这意味着您没有使用Cookie进行身份验证),则您不需要CSRF保护。