【发布时间】:2017-03-03 12:40:57
【问题描述】:
为了防止 CSRF 攻击,我需要重构但不是太多的 webapp(没有标签库的 jsp)。我不能使用像 describe here 这样的算法,但我认为 nonce id 对我来说是最好的解决方案:https://tomcat.apache.org/tomcat-8.0-doc/config/filter.html#CSRF_Prevention_Filter_for_REST_APIs 应用这些参数非常昂贵,因为我必须更改所有调用请求(为每个 Post 添加一个 get 并强制客户端进行第二次调用),所以我决定使用静态包含导入在我的所有 jsp 中添加一个输入隐藏文本框,以及用于匹配会话 Nonce ID 和请求 nonce ID 的 java Filter。我的解决方案是一种好的做法,是休息算法的替代方案吗? 对不起我的英语不好..
谢谢!
罗比
【问题讨论】:
标签: java jsp csrf tomcat8 csrf-protection