В чем причина отключения csrf в веб-приложении с весенней загрузкой?

Question

Есть много уроков, где показано, как отключить csrf,

csrf().disable()

(и другие возможности, такие как .properties, .yml и т. Д.) но нигде не объяснили, почему они это делают?

Итак, мои вопросы:

Какова реальная причина его отключения?
Это улучшает производительность?

Answer 1

Какова реальная причина его отключения?

В документации Spring предлагается:

Мы рекомендуем использовать защиту CSRF для любого запроса, который может быть обработан браузером обычными пользователями. Если вы создаете только услугу, которая используется клиентами без браузера, вы, вероятно, захотите отключить защиту CSRF.

---

Улучшает ли это производительность?

Это не должно влиять на производительность. Фильтр (или другой компонент) будет удален из цепочки обработки запросов, чтобы сделать функцию недоступной.

В чем причина отключения csrf в приложении Spring Boot?

1. Вы используете другой механизм токенов.
2. Вы хотите упростить взаимодействие между клиентом и сервером.

Answer 2

Spring рекомендуем использовать его при обслуживании клиентов браузера , в противном случае его можно отключить:

Мы рекомендуем использовать защиту CSRF для любого запроса, который может быть обработан браузером обычными пользователями. Если вы создаете только службу, которая используется не браузерными клиентами, вы, вероятно, захотите отключить защиту CSRF.

Я добавлю, что даже если вы используете браузер для клиентов, но вы используете его только для внутреннего использования, вы можете / можете удалить его.