在Spring Boot中禁用CSRF保护的原因?

21-05-17 banq

CSRF(Cross-site request forgery),中文名称:跨站请求伪造,CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。

Spring Boot对普通用户可能由浏览器处理的任何请求默认启用了CSRF保护。

但是如果客户端不是浏览器,则可能需要禁用CSRF保护。它不应该影响性能。过滤器(或其他组件)将从请求处理链中删除,以使该功能不可用,它确实会使请求更加冗长。

禁用的其他原因:、

  1. 您正在使用另一种令牌机制。
  2. 您想简化客户端和服务器之间的交互。
  3. 仅在内部使用,会干扰了现有的身份验证机制。

禁用:

csrf().disable()

 

猜你喜欢