Deshabilitar protección CSRF

Curso de Java Spring Security: Autenticación y Seguridad Web

Introducción

Seguridad en aplicaciones web

¿Qué es Spring Security?

Configurar Spring Security

Usar la autenticación por defecto

Configuración de seguridad

Crear configuración inicial de seguridad

¿Cómo funciona el BasicAuthenticationFilter?

Deshabilitar protección CSRF

Crear configuración de CORS

Aplicar requestMatchers

Crear autenticación en memoria

Aplicar requestMatchers con roles

Autenticación con BD

Crear usuarios en la base de datos

Implementar la interface UserDetailsService

Asignar roles a usuario

Aplicar authorities a los usuarios

Controlar métodos con Method Security

Seguridad con JWT

Añadir JWT al proyecto

Crear JWT cuando un usuario inicie sesión

Crear servicio para validar un JWT

Crear filtro para verificar el JWT

Aplicar filtro en la configuración

Próximos pasos

Auditoria de usuarios en la base de datos

¿Quieres un Curso de Microservicios con Java Spring?

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Si ya tienes una cuenta,

Iniciar sesión

Recursos

Aportes 5

Preguntas 4

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

o inicia sesión.

Rene Cruz Flores

hace 3 meses

El método para deshabilitar el CSRF sin usar métodos deprecados, puede quedar así:

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    http
        .authorizeHttpRequests(customizeRequests -> {
                customizeRequests
                        .anyRequest()
                        .authenticated();
            }
        )
        .csrf(AbstractHttpConfigurer::disable)
        .httpBasic(Customizer.withDefaults());

    return http.build();
}

John Michel Rivera de León

hace 4 meses

Muy importante lo que dice el Profe, en proyectos reales, me ha pasado que cuando se envía el código a revisión de vulnerabilidades, suelen responder con que es vulnerable a ataques CSRF.

Como bien indica el Profe, es necesario conocer tu aplicación, y especificar que esta deshabilidado, por que es tal vez una aplicación Staless + JWT .

Con esto puedes defender tu aplicación o explicar el por que esta deshabilitado.
En serio me ha tocado con clientes grandes que igual lo desconocen, y quieren habilitar CSRF en back y front para una aplicación Staless + JWT .

Ya que explicas con detenimiento y documentación ya lo comprenden.

anderson jose castillo muñoz

hace 3 meses

para que funcione todo bien cambiar la version a <groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>3.0.6</version>
<relativePath/> en caso de usar maven

Sixto Ortega

hace 2 meses

De igual manera, tambien se pueden bloquear a los sitios no autorizados. Esto quiere decir que si intentan realizar una petición desde otro dominio automaticamente será rechazada

jose condori

hace un mes

CSRF es un ataque que aprovecha una vulnerabilidad y hace una petición web haciendo ser pasar por un usuario