问题描述
在 rest API 中使用 CSRF 令牌是否有帮助?据我所知,我们没有会话,所以我们应该将令牌发送给客户端以供下一个请求或提交表单。
在ajax(xhr)调用中再次使用是否有帮助。有没有其他选择?
我一直在为此阅读spring文档,并且它也有一些示例。但我很好奇它真的有用吗?
顺便说一下,我的服务器是 spring 2.2,我的客户端是 Angular 9。
谢谢
解决方法
CSRF 令牌对于防止 XSS 攻击至关重要,例如,您在一个选项卡中登录到您的银行,并访问我的恶意站点,该站点将向您的银行发送隐藏表单以窃取您的信用卡号。
如果您想构建一个更安全的站点,那么每个在后端(POST、PUT、DELETE 等)中操作状态的请求都应该包含一个 CSRF 令牌,以确保请求来自您站点上的表单并且仅您的网站。
您可以在 Owasps webpage 上阅读有关 CSRF 令牌的更多信息。