CSRF保護とSpringセッションヘッダーセッションの戦略

Question

Springベースの残りのAPIでは、私はHeaderHttpSessionStrategyでSpringセッションを使用しています。クッキーがまったく使用されない（セッションIDがヘッダーとして送信される）場合、CSRF攻撃についても心配する必要はありますか？

私は安全だと言うだろう、と私は、このシナリオでCSRFの保護は、例えば、必要とされていないことを同意する人が読んでいる： https://security.stackexchange.com/questions/62080/is-csrf-possible-if-i-dont-even-use-cookies

しかし、春の人はいつでもアプリケーションがによってアクセスされていることを主張ブラウザにはCSRF保護が必要です：https://spring.io/blog/2015/01/12/the-login-page-angular-js-and-spring-security-part-ii。

Answer 1

私の考えでは、HeaderHttpSessionStrategyを使用すると、CSRF攻撃は不可能です。ヘッダートークンをクッキーとして保存すると、実際はXSRF保護と同じアプローチになります。だから、XSRFの保護はあなたに追加の保護を与えるものではありません。

Answer 2

私は春の男と付き合っていました。一般的に彼らは彼らが何を話しているかを知っている。 CSRF攻撃は、リクエストが送信されている間に実行されている悪質なコードから成ります。

CSRFを有効にすると、フォームに非表示のフィールドを追加する以外に問題はなく、Webアプリケーションをそのような攻撃から保護します。なぜそれを使用していないのですか？