Warning: file_get_contents(/data/phpspider/zhask/data//catemap/2/spring/12.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Spring安全性-获取请求时的CSRF令牌_Spring_Spring Security - Fatal编程技术网
Fatal编程技术网
  • spring/
  • Spring安全性-获取请求时的CSRF令牌

Spring安全性-获取请求时的CSRF令牌

spring spring-security

Spring安全性-获取请求时的CSRF令牌,spring,spring-security,Spring,Spring Security,我在Spring5(boot2)RESTfulWeb服务中配置了CSRF保护,因为我想防止CSRF攻击(我使用JWTcookie进行身份验证和授权)。每次请求我都会得到一个新的XSRFcookie。我通过X-CSRF-TOKEN头发送回的cookie的值 我注意到POST,PUT和DELETE方法需要这个令牌的值(在X-CSRF-token头中)才能正常工作,但是GET方法在没有X-CSRF-token头的情况下工作得很好 这种行为是故意的,是因为GET方法不应更改状态还是我做错了什么?CSRF

我在Spring5(boot2)RESTfulWeb服务中配置了CSRF保护,因为我想防止CSRF攻击(我使用
JWT
cookie进行身份验证和授权)。每次请求我都会得到一个新的
XSRF
cookie。我通过
X-CSRF-TOKEN
头发送回的cookie的值

我注意到
POST
PUT
DELETE
方法需要这个令牌的值(在
X-CSRF-token
头中)才能正常工作,但是
GET
方法在没有
X-CSRF-token
头的情况下工作得很好

这种行为是故意的,是因为
GET
方法不应更改状态还是我做错了什么?

CSRF令牌被故意排除在GET之外,以避免令牌泄漏给第三方