所以我们有一个使用 JWT 访问令牌保护的平台。要访问平台 REST API,我们在 Bearer Authorization 标头中发送令牌;当获取静态内容(例如 SPA 的代码、CSS、字体,甚至是在 SPA 之间跳转)时,我们会在 Cookie 中发送令牌,因为我们无法控制这些请求。到目前为止我们还好...
在某个时间点,我们在 API 中添加了 Spring Security。这使我们的一些事情变得更容易,但是 SonarQube 显示了禁用 Spring Security 的 CSRF 保护的警告(在配置我们认为 pfff 的框架时,我们使用标头来传输我们的 JWT,我们不需要为我们的 API 提供 CSRF 保护),但我们试图无论如何解决警告。
调查我们遇到SameSite了 Cookies 的属性,如果这能解决我们所有的问题,我们有点困惑。
所以问题是:cookieSameSite的属性是否足以保护 CRSF?
如果是这样,有没有办法让 Spring Security / SonarQube 我们可以抵御此类攻击?