[英]CSRF Guard - how to validate generated token at server side
我是Web安全的新手,我正在尝试在Web应用程序上实现CSRF Gaurd 。
我已经在Web应用程序上完成了所有必需的配置,并且可以看到在执行ajax调用或html页面时生成/注入了令牌( FWJY-N767-M4HG-DHXT-WCE4-5J08-MV4G-LNV4
)负载。 我注意到每个请求的令牌都是相同的。
但是,我无法在服务器端验证令牌。 根据我的研究,它应该转到CsrfGuardFilter.java
类并验证令牌,但是在调试时,我可以看到它不会转到CsrfGuardFilter.java
类,并且不会基于令牌验证请求。 我也收到不包含令牌的请求的响应。
有人可以指导我在我的Web应用程序上正确实现CSRF Guard。 谢谢你的帮助。
您必须在正确位置的web.xml中声明CsrfGuardFilter,CsrfGuardServletContextListener和CsrGuardGuardHttpSessionListener。 在我的应用程序中,我将其放置在创建会话之后。 另外,您必须为JavaScriptServlet定义映射。
注意:我在应用程序中使用了owasp csrfguard 3.1.0,并且只需要为上述组件定义映射。 对于较旧的版本,您可能必须定义更多的属性/组件。
我从以下示例中获得了实现的帮助: https : //github.com/aramrami/OWASP-CSRFGuard
希望您能解决您的问题,而我的回答会在将来对您有所帮助。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.