是否有必要保护 JAX-RS 请求免受 CSRF 影响？

Question

是否有必要保护 JAX-RS 请求免受 CSRF 的攻击？

definition REST 是无状态的，因此不存在会话 id（会话 cookie），因为根本没有会话（另请参阅 https://stackoverflow.com/a/15746639/5277820）。

我的 Spring Security Java 配置：

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Configuration
    @Order(1)
    public static class JaxRsWebSecurityConfigurationAdapter extends WebSecurityConfigurerAdapter {

        @Override
        protected void configure(final HttpSecurity http) throws Exception {
            http
                .antMatcher("/services/**")
                .csrf().disable()
                .authorizeRequests()
                    .antMatchers(HttpMethod.OPTIONS, "/services/**").permitAll()              
                    .anyRequest().hasAuthority("ROLE_user")
                    .and()
                .httpBasic()
                    .and()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
             }
        }
    }
}

但我发现例如以下博客：Stateless Spring Security Part 1: Stateless CSRF protection。不幸的是，该博客没有解释为什么需要 CSRF 保护。

是否还有其他没有会话 cookie 的 CSRF 攻击？

Answer 1

CSRF 攻击不需要会话存在。 CSRF 攻击包括通过诱使用户点击链接或提交表单以访问用户登录的应用程序来代表用户做某事。

是否使用基本身份验证或会话 cookie 来识别用户是无关紧要的。

请注意，使用 cookie 并不意味着应用程序不是无状态的。 cookie，就像基本身份验证一样，只是在每个 HTTP 请求中发送一个附加标头。

Answer 2

访问令牌有时存储在（充其量仅安全的 http）cookie 中，因此客户端不必费心将其添加到每个请求中手动：cookie 会自动附加到请求中由浏览器。这就是需要实施 CSRF 保护的原因。

您链接的文章建议让客户端在 Cookie 和自定义 HTTP 标头中生成并发送相同的唯一秘密值，这非常聪明：

考虑到一个网站只允许为其读取/写入一个 Cookie 自己的域，只有真实站点可以在两者中发送相同的值 标题。

也就是说，如果您收到一封电子邮件，其中包含以 http://yourserver.com/admin/deleteAll 为目标的虚假图片（服务器通过 GET... 处理它），则 唯一秘密 不会是在请求头中设置（旧的仍然可能存在于 cookie 中）：服务器必须拒绝请求。