在弹簧引导Web应用程序中禁用csrf的原因是什么?
2022-08-31 21:02:14
有许多教程显示了如何禁用csrf,
csrf().disable()
(以及其他可能性,如 、 等)但没有任何地方解释他们为什么这样做?.properties.yml
所以我的问题是:
禁用它的实际原因是什么?
它是否提高了性能?
答案 1
禁用它的实际原因是什么?
Spring文档建议:
我们的建议是对普通用户可能由浏览器处理的任何请求使用CSRF保护。如果您只创建由非浏览器客户端使用的服务,则可能需要禁用 CSRF 保护。
它能提高性能吗?
它不应该影响性能。筛选器(或其他组件)将从请求处理链中删除,以使该功能不可用。
在Spring Boot应用程序中禁用的原因是什么?
csrf
- 您正在使用另一种令牌机制。
- 您希望简化客户端和服务器之间的交互。
答案 2
Spring建议在为浏览器客户端提供服务时使用它,否则可能会被禁用:
我们的建议是对普通用户可能由浏览器处理的任何请求使用CSRF保护。如果您只创建由非浏览器客户端使用的服务,则可能需要禁用 CSRF 保护。
我会补充一点,即使您为浏览器客户端提供服务,但它在内部使用,只有您可能希望/能够删除它。
推荐
-
如何使用Java中的RESTful Web服务获取远程/客户端IP地址? 我已经在我的项目中编写了Rest Web服务。Web服务调用可能来自不同 machine.so 我需要通过REST Web服务找出IP地址。 从这个请求.getRemoteAddr()使用这个。 但是我不能使用getRemoteAddr()。因为我的请
-
从包含大量文件的zip文件中提取1文件的最快方法是什么? 我尝试了但它们也缺少一些东西。 LZMA SDK不提供一种如何使用的文档/教程,这非常令人沮丧。没有 javadoc。 虽然7z jbinding没有提供一种简单的方法来只提取1个文件,但是,它只提供了提取zip文件
-
输入/输出流在销毁时是否关闭? Java 中的 InputStreams 和 OutputStreams 是否在销毁时关闭()?我完全理解这可能是不好的形式(特别是在C和C++世界中),但我很好奇。 另外,假设我有以下代码: 无名的FileInputStream是否在p.load
-
Java 程序中的字符串大小是否有任何限制? 我有一个字符串定义为 字符串 xx 我可以分配的字符数是否有任何限制? 2) 我正在将用户输入分配给此字符串 xx。70%的人只说一个字。有时他们给出一个大句子,所以想知道可
-
标签
推荐