Halo
XSRF-TOKEN的运作方式是怎么样的 #6342
Replies: 1 comment 3 replies
-
|
CSRF 使用的 token 是在前端生成并设置到 cookie 中的,并且标记为同源可读,然后在请求的 request body 或者 header 中携带到后端,后端根据 cookie 中的 csrf 来判断 header 或 request body 中的 csrf 是否相同来避免 CSRF 攻击 |
Beta Was this translation helpful? Give feedback.
-
|
有个很奇怪的现象,我直接访问主页的时候(没登陆),response header里面的set-cookie就会发送XSRF-TOKEN,这个应该是后端发过来的;但是要是直接访问登录页面无论是在request ,response header还是request ,response body都没看到XSRF-TOKEN,但是在查看站点信息又会看到XSRF-TOKEN已经存在,所以我有点搞不懂XSRF-TOKEN到底是前端生成发给后端还是后端生成发给前端了 |
Beta Was this translation helpful? Give feedback.
-
|
目前,这个 CSRF Token 是前端生成的。后端只需要校验 Cookie(XSRF-TOKEN) 和 Header(X-Xsrf-Token) 或者 Form Data(_csrf) 是否一致即可。具体细节可参考:https://github.com/spring-projects/spring-security/blob/ffd4a0ff574e060738fe495c2ee368510b254fcc/web/src/main/java/org/springframework/security/web/server/csrf/CsrfWebFilter.java#L134-L140。 |
Beta Was this translation helpful? Give feedback.
-
|
好的,谢谢 |
Beta Was this translation helpful? Give feedback.
-
你当前使用的版本
2.17.1
描述一下此特性
在第一次浏览网站(没登录)会有一个set-cookie发送XSRF-TOKEN到浏览器;登录后发现XSRF-TOKEN的值发生改变,但是看了所有的响应头也没看到有哪个用set-cookie再次发送了XSRF-TOKEN到浏览器,那XSRF-TOKEN的值是怎么改变的
附加信息
No response
Beta Was this translation helpful? Give feedback.
All reactions