Итак, у нас есть платформа, защищенная токеном доступа JWT. Чтобы получить доступ к REST API платформы, мы отправляем токен в заголовке Bearer Authorization; при извлечении статического контента (такого как код SPA, CSS, шрифты или даже для перехода между SPA) мы отправляем токен в Cookie, так как не имеем никакого контроля над этими запросами. Мы были в порядке пока ...
В какой-то момент мы добавили Spring Security в наши API. Это облегчило нам задачу, но SonarQube отображал предупреждения об отключении защиты CSRF в Spring Security (при настройке фреймворка мы pfff используем заголовки для транспортировки нашего JWT, нам не нужна защита CSRF для наших API ), но мы все равно попытались устранить предупреждение.
Исследуя, мы натолкнулись на атрибут SameSite для файлов cookie, и мы немного растеряны, если это решит все наши проблемы.
Таким образом, вопрос будет: Достаточно ли SameSite атрибута cookie для защиты CRSF?
Если это так, есть ли способ сообщить Spring Security / SonarQube, что мы в порядке против таких атак?