csrf-protection पर टैग किए गए जवाब

क्या CSRF प्रोटेक्शन का उपयोग करना आवश्यक है, जब एप्लिकेशन स्टेटलेस प्रमाणीकरण (HMAC जैसी किसी चीज़ का उपयोग करके) पर निर्भर हो? उदाहरण: हम एक ही पृष्ठ एप्लिकेशन मिल गया है (अन्यथा हम एक लिंक पर टोकन संलग्न करने के लिए है: <a href="...?token=xyz">...</a>। उपयोगकर्ता स्वयं का उपयोग करके प्रमाणित …

125 authentication  csrf  single-page-application  stateless  csrf-protection 

स्प्रिंग सुरक्षा 3.2 को कॉन्फ़िगर करने के बाद, _csrf.tokenअनुरोध या सत्र ऑब्जेक्ट के लिए बाध्य नहीं है। यह वसंत सुरक्षा विन्यास है: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/> <form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=1" default-target-url="/index.jsp"/> <logout/> <csrf /> </http> <authentication-manager> <authentication-provider> <user-service> <user name="test" password="test" authorities="ROLE_USER/> </user-service> </authentication-provider> </authentication-manager> Login.jsp फ़ाइल <form …

90 spring  spring-security  csrf  csrf-protection