在不同域中的 reactjs 和 spring boot 应用程序之间启用 CSRF

Posted 2023-02-27

【中文标题】在不同域中的 reactjs 和 spring boot 应用程序之间启用 CSRF

【英文标题】：CSRF enable between reactjs and springboot application in different domain

【发布时间】：2021-12-26 00:04:45

【问题描述】：

我们将 react js 应用程序作为前端应用程序，并将 springboot api 作为支持的 CSRF 启用，它们在不同的域中运行。

在 rest API 和 react 应用程序之间传递 csrf 令牌的最佳方式是什么。

【参考方案1】：

通常 CSRF 令牌在 HTTP 请求的有效负载中传递。 如果您的 REST API 没有 cookie 依赖项（例如：用于身份验证），我认为不需要 CSRF 保护。 您可以参考此链接了解更多详情。 https://security.stackexchange.com/questions/166724/should-i-use-csrf-protection-on-rest-api-endpoints

【讨论】：

感谢您的回答。我们不通过 cookie 使用 jwt 令牌授权，但我们确实通过 cookie 传递了一些值。