Questions marquées «csrf-protection»

Jeton CSRF nécessaire lors de l'utilisation de l'authentification sans état (= sans session)?

Est-il nécessaire d'utiliser la protection CSRF lorsque l'application repose sur l'authentification sans état (en utilisant quelque chose comme HMAC)? Exemple: Nous avons une seule application de la page (sinon nous devons ajouter le jeton sur chaque lien: <a

Un jeton CSRF non valide «null» a été trouvé sur le paramètre de demande «_csrf» ou l'en-tête «X-CSRF-TOKEN»

Après avoir configuré Spring Security 3.2, _csrf.tokenn'est pas lié à une demande ou à un objet de session. Voici la configuration de sécurité du printemps: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/> <form-login...