In meinem Frühjahr basierte Rest API, verwende ich Spring-Session mit HeaderHttpSessionStrategy. Gegebene Cookies werden überhaupt nicht verwendet (Sitzungs-ID wird als Kopfzeile gesendet), muss ich mich noch um CSRF-Angriffe kümmern?CSRF-Schutz und Spring Session-Header-Sitzung Strategie
Ich würde sagen, ich bin sicher, und ich habe gelesen Menschen in diesem Szenario CSRF Schutz vereinbaren, dass nicht erforderlich ist, zum Beispiel: https://security.stackexchange.com/questions/62080/is-csrf-possible-if-i-dont-even-use-cookies
jedoch der Frühlings Jungs argumentieren, dass, wenn eine Anwendung von zugegriffen wird ein Browser benötigen Sie CSRF-Schutz: https://spring.io/blog/2015/01/12/the-login-page-angular-js-and-spring-security-part-ii.