什么版本?4.5
feign调用,扫描出“跨站请求伪造”漏洞,有处理方案吗
机器扫描出来的所谓“漏洞”大概率都是不准确的,因为bladex没用security框架也没用cookie保存和传递令牌,用的是jwt无状态认证。
“跨站请求伪造”(CSRF)本质上是利用“浏览器会自动带上凭证”的特性:只要在浏览器里有某站点的 Cookie,攻击者构造一个跨站请求,就能在不知情的情况下携带该 Cookie 完成敏感操作。
但是浏览器不会在跨站请求中自动附加自定义的 Authorization、Blade-Auth 请求头,所以攻击者即便诱导用户访问恶意页面,也发不出带你 JWT 的请求。
如果你们认定有漏洞,正常流程应该让给你们报告的单位提供完整的可复现的攻击流程,然后把报告发给我们,让我们来验证。
扫一扫访问 Blade技术社区 移动端
加载中...
苏公网安备 32041102000998号