有很多教程展示了如何禁用 csrf,
csrf().disable()
(以及其他可能性,如 .properties
, .yml
等)但没有地方解释他们为什么这样做?
所以我的问题是:
禁用它的现实原因是什么?
它提高了性能吗?
原文由 arminvanbuuren 发布,翻译遵循 CC BY-SA 4.0 许可协议
有很多教程展示了如何禁用 csrf,
csrf().disable()
(以及其他可能性,如 .properties
, .yml
等)但没有地方解释他们为什么这样做?
所以我的问题是:
禁用它的现实原因是什么?
它提高了性能吗?
原文由 arminvanbuuren 发布,翻译遵循 CC BY-SA 4.0 许可协议
Spring 建议在为 浏览器客户端 提供服务时使用它,否则可能会被禁用:
我们的建议是对普通用户可以通过浏览器处理的任何请求使用 CSRF 保护。如果您只是创建一个供非浏览器客户端使用的服务,您可能希望禁用 CSRF 保护。
我会补充一点,即使您为浏览器客户端提供服务,但它仅在内部使用,您可能希望/能够删除它。
原文由 user7294900 发布,翻译遵循 CC BY-SA 4.0 许可协议
15 回答8.4k 阅读
8 回答6.2k 阅读
1 回答4k 阅读✓ 已解决
3 回答6k 阅读
3 回答2.6k 阅读✓ 已解决
3 回答2.2k 阅读✓ 已解决
2 回答3.1k 阅读
Spring 文档建议:
它不应该影响性能。将从请求处理链中删除过滤器(或其他组件)以使该功能不可用。