Primavera doc dicePrimavera di sicurezza: Abilita/Disabilita CSRF per tipo client (browser/non-browser)
"Quando si utilizza la protezione CSRF La nostra raccomandazione è di usare la protezione CSRF per qualsiasi richiesta che possa essere elaborato da un browser da utenti normali.Se si sta creando solo un servizio che viene utilizzato da client non-browser, è probabile che si desideri disabilitare la protezione CSRF. "
E se il mio servizio verrà utilizzato da entrambi i client "browser" e "non browser" come i servizi esterni di terze parti, la sicurezza di primavera offre un modo per disabilitare csrf esclusivamente per determinati tipi di client?
Riferimento: http://docs.spring.io/spring-security/site/docs/3.2.0.CI-SNAPSHOT/reference/html/csrf.html
Vorrei inserire un programma flash in una pagina del browser, ad esempio che sono un client non browser e attaccare l'utente quando non ha alcuna protezione CSRF. –
@NeilMcGuigan Sto disabilitando CSRF solo per client fidati, che confido che sto stabilendo tramite X509 e SSL/TLS. –