Вопросы с тегом «csrf-protection»

Токен CSRF необходим при использовании аутентификации без сохранения состояния (= без сеанса)?

Нужно ли использовать защиту CSRF, если приложение использует аутентификацию без сохранения состояния (используя что-то вроде HMAC)? Пример: У нас есть одно приложение страницы ( в противном случае мы должны добавить маркер на каждой ссылке: <a href="...?token=xyz">...</a>. Пользователь...

Недействительный токен CSRF 'null' был обнаружен в параметре запроса '_csrf' или заголовке 'X-CSRF-TOKEN'

После настройки Spring Security 3.2 _csrf.tokenне привязан к запросу или объекту сеанса. Это весенняя конфигурация безопасности: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/> <form-login login-page="/login.jsp"...