-
我的应用程序是使用SPRING MVC构建的,我暴露了一些Restful URI . (Working Fine) 例如 - http://example.org/alert/alerts //获取登录用户的警报列表 .
-
我已按照链接使用OWASP CSRFGuard为跨站点请求伪造(CSRF)配置了应用程序 - (Working Fine) https://www.owasp.org/index.php/CSRFGuard_3_Configuration#Overview
-
Restful服务目前已被相同应用程序的UI使用而没有任何问题 . (Working Fine) 例如 - 属于同一WebApp的数据网格通过调用此Restful服务(AJAX请求)显示警报列表
-
Issue :当我尝试从其他域/ Chrome Rest客户端访问相同的Restful服务时,它会返回除302之外的所有数据 .
-
如果我在csrfguard.properties中为restful URI设置了“unprotected pages”属性,我可以从RestClient /不同的域访问Restful服务 .
请建议我是否需要进行任何其他配置,以便可以从其他域/ Chrome rest客户端访问受CSRF保护的相同Restful服务 .
1 回答
1.如果您在服务器端生成CSRF令牌,则在该请求验证会话中提供一个get请求,并将创建的CSRF令牌作为隐藏发送给客户端,现在剩下的请求应该是POST,PATCH,PUT或DELETE,它们将获得CSRF令牌每个请求标头 . 2.如果您在客户端生成CSRF令牌,则从第一个请求(即身份验证或授权)获取令牌的值,并将其与自定义过滤器中的每个请求进行比较 .