我已经在我的应用程序中为Single Singh On实现了Spring Security extentions SPNEGO API。任何人都可以帮助我知道,kerberos协议或SPNEGO是CSRF安全吗?即使我已经实施了SPNEGO,我还需要明确地实施CSRF安全吗?
答案 0 :(得分:0)
只要有任何东西可以自动将身份验证信息发送到服务器,就需要实施CSRF保护。据我所知,仅有两种机制是cookie和SPNEGO上的Kerberos / NTLM。使用SPNEGO,列入白名单的域将在每次请求时获得您的kerberos令牌。攻击者可以制作表单并诱骗用户提交表单,如果目标是具有SPNEGO支持的API,并且该浏览器被列入白名单以发送令牌,则它可以诱骗用户发送他们不打算发送的身份验证信息。就像身份验证Cookie一样。
来源:https://www.computerweekly.com/tip/CSRF-attack-How-hackers-use-trusted-users-for-their-exploits和https://security.stackexchange.com/a/190903/12776