CSRF Guard-如何在服務器端驗證生成的令牌
[英]CSRF Guard - how to validate generated token at server side
問題描述
我是Web安全的新手,我正在嘗試在Web應用程序上實現CSRF Gaurd 。
我已經在Web應用程序上完成了所有必需的配置,並且可以看到在執行ajax調用或html頁面時生成/注入了令牌( FWJY-N767-M4HG-DHXT-WCE4-5J08-MV4G-LNV4 )負載。 我注意到每個請求的令牌都是相同的。
但是,我無法在服務器端驗證令牌。 根據我的研究,它應該轉到CsrfGuardFilter.java類並驗證令牌,但是在調試時,我可以看到它不會轉到CsrfGuardFilter.java類,並且不會基於令牌驗證請求。 我也收到不包含令牌的請求的響應。
有人可以指導我在我的Web應用程序上正確實現CSRF Guard。 謝謝你的幫助。
2 個解決方案
解決方案1
0 已采納 2014-12-10 06:46:01
解決方案2
0 2015-09-09 23:27:48
您必須在正確位置的web.xml中聲明CsrfGuardFilter,CsrfGuardServletContextListener和CsrGuardGuardHttpSessionListener。 在我的應用程序中,我將其放置在創建會話之后。 另外,您必須為JavaScriptServlet定義映射。
注意:我在應用程序中使用了owasp csrfguard 3.1.0,並且只需要為上述組件定義映射。 對於較舊的版本,您可能必須定義更多的屬性/組件。
我從以下示例中獲得了實現的幫助: https : //github.com/aramrami/OWASP-CSRFGuard
希望您能解決您的問題,而我的回答會在將來對您有所幫助。
spring如何使用_csrf參數或X-CSRF-TOKEN標頭在內部驗證csrf令牌?
[英]How does the spring internally validate the csrf token with _csrf parameter or X-CSRF-TOKEN header?
如何使用客戶端代碼檢索在服務器端生成的訪問令牌?
[英]How to retrieve using the Client code the Access Token generated on the Server-side?
如何在Java中提交具有隱藏的具有生成值的csrf_token_login字段的html登錄表單
[英]How in Java to submit html logon form that has hidden csrf_token_login field with generated value
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
CSRF Guard:如何從URL隱藏CSRF令牌
spring如何使用_csrf參數或X-CSRF-TOKEN標頭在內部驗證csrf令牌?
未使用 Webflux 生成 CSRF 令牌
如何使用客戶端代碼檢索在服務器端生成的訪問令牌?
在 java web 應用程序上生成並驗證 CSRF 令牌
X-CSRF-TOKEN 不是由 Spring Boot 生成的
如何在Java中提交具有隱藏的具有生成值的csrf_token_login字段的html登錄表單
如何找到CSRF令牌是否有效
如何在登錄時獲取 csrf 令牌?
從服務器到AngularJS客戶端的CSRF令牌交換
相關標簽