我已经在我的应用程序中为Single Singh On实现了Spring Security扩展SPNEGO API。谁能帮我知道,Kerberos协议或SPNEGO是CSRF安全的吗?即使我已经实施了 SPNEGO,我是否需要明确实施 CSRF 安全?
只要有自动向服务器发送身份验证信息的内容,就需要实施 CSRF 保护。据我所知,只有两种机制是 cookie 和 Kerberos/NTLM over SPNEGO。使用 SPNEGO,列入白名单的域将在每次请求时获得您的 kerberos 令牌。攻击者可以制作表单并诱骗用户提交表单,如果目标是浏览器被列入白名单以向其发送令牌的具有 SPNEGO 支持的 API,则可以诱骗用户发送他们不打算发送的身份验证信息。就像身份验证饼干一样。
资料来源:https://www.computerweekly.com/tip/CSRF-attack-How-hackers-use-trusted-users-for-their-exploits 和 https://security.stackexchange.com/a/190903/12776