Spring安全性-获取请求时的CSRF令牌
我在Spring5(boot2)RESTfulWeb服务中配置了CSRF保护,因为我想防止CSRF攻击(我使用Spring安全性-获取请求时的CSRF令牌,spring,spring-security,Spring,Spring Security,我在Spring5(boot2)RESTfulWeb服务中配置了CSRF保护,因为我想防止CSRF攻击(我使用JWTcookie进行身份验证和授权)。每次请求我都会得到一个新的XSRFcookie。我通过X-CSRF-TOKEN头发送回的cookie的值 我注意到POST,PUT和DELETE方法需要这个令牌的值(在X-CSRF-token头中)才能正常工作,但是GET方法在没有X-CSRF-token头的情况下工作得很好 这种行为是故意的,是因为GET方法不应更改状态还是我做错了什么?CSRF
JWT
cookie进行身份验证和授权)。每次请求我都会得到一个新的XSRF
cookie。我通过X-CSRF-TOKEN
头发送回的cookie的值
我注意到POST
,PUT
和DELETE
方法需要这个令牌的值(在X-CSRF-token
头中)才能正常工作,但是GET
方法在没有X-CSRF-token
头的情况下工作得很好
这种行为是故意的,是因为
GET
方法不应更改状态还是我做错了什么?CSRF令牌被故意排除在GET之外,以避免令牌泄漏给第三方