标签: api rest stateless
上下文
我实际上正在构建一个简单的REST API,我需要防范CSRF攻击。事实是,我是无国籍的,使用令牌,因此,我无法在会话中与CSRF进行比较......
问题
在没有使用会话的情况下,在完全无状态的环境中管理CSRF保护的模式或良好实践是否会引起其他人的兴趣?
答案 0 :(得分:0)
如果您的API将对用户进行身份验证,您可以始终使用oauth2,它将阻止CSRF攻击。现在,如果您不需要身份验证,您可以随时使用可以为您完成工作的反向代理,这样您就不必再在应用程序层中处理CSRF了。