CSRF-Schutz und Spring Session-Header-Sitzung Strategie

Question

In meinem Frühjahr basierte Rest API, verwende ich Spring-Session mit HeaderHttpSessionStrategy. Gegebene Cookies werden überhaupt nicht verwendet (Sitzungs-ID wird als Kopfzeile gesendet), muss ich mich noch um CSRF-Angriffe kümmern?

Ich würde sagen, ich bin sicher, und ich habe gelesen Menschen in diesem Szenario CSRF Schutz vereinbaren, dass nicht erforderlich ist, zum Beispiel: https://security.stackexchange.com/questions/62080/is-csrf-possible-if-i-dont-even-use-cookies

jedoch der Frühlings Jungs argumentieren, dass, wenn eine Anwendung von zugegriffen wird ein Browser benötigen Sie CSRF-Schutz: https://spring.io/blog/2015/01/12/the-login-page-angular-js-and-spring-security-part-ii.

Answer 1

In meiner Meinung, wenn Sie die HeaderHttpSessionStrategy verwenden, sind CSRF-Angriffe nicht möglich. Wenn Sie das Header-Token als Cookie speichern, ist dies genau der gleiche Ansatz wie der XSRF-Schutz. Der XSRF-Schutz bietet keinen zusätzlichen Schutz.

Answer 2

Ich würde mit den Spring-Jungs bleiben. Im Allgemeinen wissen sie, wovon sie reden. Bei CSRF-Angriffen handelt es sich um bösartigen Code, der ausgeführt wird, während sich Ihre Anforderung in der Übertragung befindet. Sie gibt vor, dass die Anforderung von Ihnen stammt.

Die Aktivierung von CSRF ist nicht schädlich, außer dass ein verstecktes Feld zu Ihrem Formular hinzugefügt wird und Ihre Webanwendung vor solchen Angriffen schützt. Warum nicht es dann benutzen?