什么时候可以禁用 csrf 保护

Question

在这么多教程中我找到了一行

  http
    .csrf().disable();

我们什么时候可以做到？我知道这次攻击是关于什么的，但是我们什么时候可以确定我们不需要这种类型的保护呢？例如，当我们创建 REST api 时，React 应用程序将使用该 API。它还取决于我们使用的其他安全形式吗？比如智威汤逊？

Answer 1

当有微服务到微服务调用时，不需要csrf保护。CSRF只是浏览器的问题（以及在移动应用程序中嵌入浏览器的应用程序，如Web视图），因此无需实现机器对机器通信的保护，因为它们使用 HTTP 客户端库和硬编码的 URL，因此无法像使用普通浏览器（例如使用 img 标签）那样让它们“浏览”易受 CSRF 攻击的端点。

就普通客户端而言，即使您的微服务可以从外部访问，也不应该成为问题，因为它的身份验证系统应该只允许授权客户端（其他微服务、移动应用等），即使客户被欺骗访问其 API 端点，它不应该拥有正确的凭据来对其进行身份验证（除非您面向客户的 API 密钥或 cookie 可以以某种方式用于内部微服务，这是一个坏主意，您应该防止这种情况发生）。