Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Fix code scanning alert - Disabled Spring CSRF protection #1770

Closed
1 task
rnakagawa16 opened this issue Jan 6, 2025 · 0 comments · Fixed by #1771 or #1741
Closed
1 task

Fix code scanning alert - Disabled Spring CSRF protection #1770

rnakagawa16 opened this issue Jan 6, 2025 · 0 comments · Fixed by #1771 or #1741
Assignees
@rnakagawa16
Labels
target: Azure AD B2C Auth Azure AD B2C認証の要件別サンプル(コード)に関係がある target: Dressca サンプルアプリケーションDresscaに関係がある 不適当 正しい情報ではない、価値がなくなった
Milestone
v1.0.0

Comments

@rnakagawa16
Copy link
Contributor

概要

AccessToken を利用した認証を実装しているため、 CSRF を明示的に disable としていましたが、 scanning alert において警告が発生しているため、対応する必要があります。

詳細 / 機能詳細(オプション)

AD B2C サンプル

・AccessToken の検証にプラスして CSRF Token による検証を実施することは冗長である
という点から、CSRF Token を明示的にdisableとしていましたが、調べてみるとSpring Security で以下のようにデフォルトでdisableになるように適用しているようです。
https://stackoverflow.com/questions/75590786/does-spring-security-automatically-disable-csrf-when-authorization-header-beare

そのため、本件に関しては警告が出ている部分を削除する形で対応します。

Dressca サンプル

oauth2ResourceServerを使用していない Dressca の部分に関しては、AccessTokenによる認証認可を取り入れる前提(Azure AD B2C との連携を考える)という意味で、 CSRF Token の適用は冗長かと思っています。
ただし、警告に対する対応は必須ということで、以下のような記載で警告が解除されないかを検証します。
https://docs.spring.io/spring-security/reference/servlet/exploits/csrf.html#disable-csrf

完了条件

  • scanning alert が解除されていること

Tracking issue for:
@rnakagawa16 rnakagawa16 added target: Azure AD B2C Auth Azure AD B2C認証の要件別サンプル(コード)に関係がある target: Dressca サンプルアプリケーションDresscaに関係がある 不適当 正しい情報ではない、価値がなくなった labels Jan 6, 2025
@rnakagawa16 rnakagawa16 added this to the v1.0.0 milestone Jan 6, 2025
@rnakagawa16 rnakagawa16 self-assigned this Jan 6, 2025
@rnakagawa16 rnakagawa16 mentioned this issue Jan 6, 2025
Merged
@rnakagawa16 rnakagawa16 linked a pull request Jan 6, 2025 that will close this issue
Code scanning alertsのDisabled Spring CSRF protectionに対応 #1771
Merged
@kenjiyoshid-a kenjiyoshid-a linked a pull request Jan 6, 2025 that will close this issue
楽観同時実行制御・認可を行うサンプルアプリ(Dressca Admin)を追加する #1741
Merged
@kenjiyoshid-a kenjiyoshid-a reopened this Jan 6, 2025
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees

@rnakagawa16 rnakagawa16

Labels
target: Azure AD B2C Auth Azure AD B2C認証の要件別サンプル(コード)に関係がある target: Dressca サンプルアプリケーションDresscaに関係がある 不適当 正しい情報ではない、価値がなくなった
Projects
None yet
Milestone
v1.0.0
2 participants
@rnakagawa16 @kenjiyoshid-a