CSRF Guard-如何在服务器端验证生成的令牌
[英]CSRF Guard - how to validate generated token at server side
问题描述
我是Web安全的新手,我正在尝试在Web应用程序上实现CSRF Gaurd 。
我已经在Web应用程序上完成了所有必需的配置,并且可以看到在执行ajax调用或html页面时生成/注入了令牌( FWJY-N767-M4HG-DHXT-WCE4-5J08-MV4G-LNV4 )负载。 我注意到每个请求的令牌都是相同的。
但是,我无法在服务器端验证令牌。 根据我的研究,它应该转到CsrfGuardFilter.java类并验证令牌,但是在调试时,我可以看到它不会转到CsrfGuardFilter.java类,并且不会基于令牌验证请求。 我也收到不包含令牌的请求的响应。
有人可以指导我在我的Web应用程序上正确实现CSRF Guard。 谢谢你的帮助。
2 个解决方案
解决方案1
0 已采纳 2014-12-10 06:46:01
解决方案2
0 2015-09-09 23:27:48
您必须在正确位置的web.xml中声明CsrfGuardFilter,CsrfGuardServletContextListener和CsrGuardGuardHttpSessionListener。 在我的应用程序中,我将其放置在创建会话之后。 另外,您必须为JavaScriptServlet定义映射。
注意:我在应用程序中使用了owasp csrfguard 3.1.0,并且只需要为上述组件定义映射。 对于较旧的版本,您可能必须定义更多的属性/组件。
我从以下示例中获得了实现的帮助: https : //github.com/aramrami/OWASP-CSRFGuard
希望您能解决您的问题,而我的回答会在将来对您有所帮助。
spring如何使用_csrf参数或X-CSRF-TOKEN标头在内部验证csrf令牌?
[英]How does the spring internally validate the csrf token with _csrf parameter or X-CSRF-TOKEN header?
如何使用客户端代码检索在服务器端生成的访问令牌?
[英]How to retrieve using the Client code the Access Token generated on the Server-side?
如何在Java中提交具有隐藏的具有生成值的csrf_token_login字段的html登录表单
[英]How in Java to submit html logon form that has hidden csrf_token_login field with generated value
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
CSRF Guard:如何从URL隐藏CSRF令牌
spring如何使用_csrf参数或X-CSRF-TOKEN标头在内部验证csrf令牌?
未使用 Webflux 生成 CSRF 令牌
如何使用客户端代码检索在服务器端生成的访问令牌?
在 java web 应用程序上生成并验证 CSRF 令牌
X-CSRF-TOKEN 不是由 Spring Boot 生成的
如何在Java中提交具有隐藏的具有生成值的csrf_token_login字段的html登录表单
如何找到CSRF令牌是否有效
如何在登录时获取 csrf 令牌?
从服务器到AngularJS客户端的CSRF令牌交换
相关标签