Preguntas etiquetadas con csrf-protection

¿Token CSRF necesario cuando se usa la autenticación sin estado (= sin sesión)?

¿Es necesario usar Protección CSRF cuando la aplicación se basa en autenticación sin estado (usando algo como HMAC)? Ejemplo: Tenemos una sola aplicación página (de lo contrario tenemos que añadir el token en cada enlace: <a href="...?token=xyz">...</a>. El usuario se autentica...

Se encontró un token CSRF no válido 'nulo' en el parámetro de solicitud '_csrf' o en el encabezado 'X-CSRF-TOKEN'

Después de configurar Spring Security 3.2, _csrf.tokenno está vinculado a una solicitud o un objeto de sesión. Esta es la configuración de seguridad de primavera: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/>...