Попытался перейти с шаблонизации thymeleaf на полноценный фронтенд на React.js. CSRF защита включена, по гайдам стоит CookieCsrfTokenRepository.withHttpOnlyFalse(). Фронтенд получает csrf токен и сохраняет его в куки, но только после того, как сделает post запрос (где токен как раз и нужен). При этом csrf токен разный для каждого запроса, поэтому наличие старого токена бесполезно. Ровно по той же причине получение csrf токена через get запрос у меня не получается - он тупо изменяется. И выходит, у меня вечный Invalid CSRF token. При отключении csrf защиты всё работает в штатном режиме. Попытки исправления (от перенастройки репозитория csrf до пихания csrf токена во все возможные хеадеры, формы, тела запросов и куки) не увенчались успехами.
Now, upon reading this guide, we may think that a stateless REST API wouldn’t be affected by this kind of attack, as there’s no session to steal on the server-side.
Простой
