我什么时候可以禁用 csrf 保护
When can I disable csrf protection
在这么多教程中我找到了行
http
.csrf().disable();
我们什么时候可以做?我知道这次攻击是关于什么的,但是我们什么时候可以确定我们不需要这种类型的保护?例如,当我们创建 REST api 时,React 应用程序将使用它。这还取决于我们使用的其他形式的安全性?例如智威汤逊?
当有微服务到微服务调用时,不需要 csrf protection.CSRF 只是浏览器的问题(以及嵌入浏览器的应用程序,如移动应用程序中的 Web 视图),所以有无需为机器对机器通信实施保护,因为它们使用 HTTP 客户端库和硬编码 URL,因此无法使它们 "browse" 像使用普通浏览器(使用 img例如标签)。
就普通客户端而言,即使您的微服务可以从外部访问,也不应该成为问题,因为它的身份验证系统应该只允许授权客户端(其他微服务、移动应用程序等),甚至如果客户被诱骗访问其 API 端点,则它不应该拥有正确的凭据来对其进行身份验证(除非面向客户的 API 密钥或 cookie 可以以某种方式用于内部微服务,这是一个坏主意,你应该阻止它)。
在这么多教程中我找到了行
http
.csrf().disable();
我们什么时候可以做?我知道这次攻击是关于什么的,但是我们什么时候可以确定我们不需要这种类型的保护?例如,当我们创建 REST api 时,React 应用程序将使用它。这还取决于我们使用的其他形式的安全性?例如智威汤逊?
当有微服务到微服务调用时,不需要 csrf protection.CSRF 只是浏览器的问题(以及嵌入浏览器的应用程序,如移动应用程序中的 Web 视图),所以有无需为机器对机器通信实施保护,因为它们使用 HTTP 客户端库和硬编码 URL,因此无法使它们 "browse" 像使用普通浏览器(使用 img例如标签)。
就普通客户端而言,即使您的微服务可以从外部访问,也不应该成为问题,因为它的身份验证系统应该只允许授权客户端(其他微服务、移动应用程序等),甚至如果客户被诱骗访问其 API 端点,则它不应该拥有正确的凭据来对其进行身份验证(除非面向客户的 API 密钥或 cookie 可以以某种方式用于内部微服务,这是一个坏主意,你应该阻止它)。