[英]CSRF Guard - how to validate generated token at server side
我是Web安全的新手,我正在嘗試在Web應用程序上實現CSRF Gaurd 。
我已經在Web應用程序上完成了所有必需的配置,並且可以看到在執行ajax調用或html頁面時生成/注入了令牌( FWJY-N767-M4HG-DHXT-WCE4-5J08-MV4G-LNV4
)負載。 我注意到每個請求的令牌都是相同的。
但是,我無法在服務器端驗證令牌。 根據我的研究,它應該轉到CsrfGuardFilter.java
類並驗證令牌,但是在調試時,我可以看到它不會轉到CsrfGuardFilter.java
類,並且不會基於令牌驗證請求。 我也收到不包含令牌的請求的響應。
有人可以指導我在我的Web應用程序上正確實現CSRF Guard。 謝謝你的幫助。
您必須在正確位置的web.xml中聲明CsrfGuardFilter,CsrfGuardServletContextListener和CsrGuardGuardHttpSessionListener。 在我的應用程序中,我將其放置在創建會話之后。 另外,您必須為JavaScriptServlet定義映射。
注意:我在應用程序中使用了owasp csrfguard 3.1.0,並且只需要為上述組件定義映射。 對於較舊的版本,您可能必須定義更多的屬性/組件。
我從以下示例中獲得了實現的幫助: https : //github.com/aramrami/OWASP-CSRFGuard
希望您能解決您的問題,而我的回答會在將來對您有所幫助。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.