OAUTH2の場合CSRF保護が必要です

Question

REST applicationはSpring Bootで作成され、Spring Security Oauth2で保護されています。第三者のトークンプロバイダとしてCloudfoundry UAAを使用しています。

アプリケーションにはセッションがありません。すべての要求には、UAAによって提供されるOauth2トークンを伴わなければなりません。 CSRF攻撃からRESTサービスを保護する必要がありますか？

悪意のあるサイトが私のUAAサービスから有効なOauth2トークンを取得することはできません。 https://angular.io/guide/http：それはあなたのクライアントの実装方法に依存

おかげ

Answer 1

は、あなたが私たちの新しいHttpClientをして迎撃機能の角を使用しましょう。要求が送信されたときにトークンを追加するインターセプタがある場合、攻撃者はそれを利用できる可能性があります。この攻撃角度インターセプタに対して防ぐためには、クッキー...上のすべての要求ベースにXSRF-TOKENを追加builting機構を備えているが、同じリンクにmentionnedとして：

注HttpClientのサポートがあることXSRF保護スキームのクライアント側のみ。お客様のバックエンドサービスは、お客様のページのCookieを設定し、該当するすべてのリクエストにヘッダーが存在することを確認するように設定する必要があります。そうでない場合、Angularのデフォルトの保護は効果がありません。