我在我的应用程序中为 Single Singh On 实现了 Spring Security 扩展 SPNEGO API。谁能帮我知道,kerberos 协议或 SPNEGO 是 CSRF 安全的吗?即使我已经实施了 SPNEGO,我是否需要明确实施 CSRF 安全?
问问题
295 次
1 回答
0
每当您有任何自动将身份验证信息发送到服务器的东西时,您都需要实施 CSRF 保护。据我所知,仅有的两种机制是 cookie 和基于 SPNEGO 的 Kerberos/NTLM。使用 SPNEGO,白名单域将在每个请求中获取您的 kerberos 令牌。攻击者可以制作一个表单并欺骗用户提交它,如果目标是一个支持 SPNEGO 的 API,浏览器被列入白名单以向其发送令牌,它可以欺骗用户发送他们不打算发送的身份验证信息。就像一个身份验证cookie。
资料来源:https ://www.computerweekly.com/tip/CSRF-attack-How-hackers-use-trusted-users-for-their-exploits和https://security.stackexchange.com/a/190903/12776
于 2019-07-16T22:31:49.817 回答