Pytania oznaczone «csrf-protection»

Token CSRF jest potrzebny podczas korzystania z uwierzytelniania bezstanowego (= bezsesyjnego)?

Czy konieczne jest stosowanie ochrony CSRF, gdy aplikacja opiera się na uwierzytelnianiu bezstanowym (przy użyciu czegoś takiego jak HMAC)? Przykład: Mamy jedną aplikację, stronę (w przeciwnym razie mamy do dołączania żeton na każdym linku: <a href="...?token=xyz">...</a>. Użytkownik...

W parametrze żądania „_csrf” lub nagłówku „X-CSRF-TOKEN” znaleziono nieprawidłowy token CSRF „null”

Po skonfigurowaniu Spring Security 3.2 _csrf.tokennie jest powiązany z żądaniem ani obiektem sesji. Oto konfiguracja zabezpieczeń wiosny: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/> <form-login...