Tomcat 中的 CSRF 保护答案

【问题标题】：CSRF protection in TomcatTomcat 中的 CSRF 保护
【发布时间】：2010-12-03 11:00:25
【问题描述】：

如何防止 Tomcat 中的 CSRF 漏洞？

我正在为我的应用程序使用 Tomcat 服务器，我需要保护我的应用程序免受 CSRF 攻击。有什么技术可以做到这一点吗？

【问题讨论】：

你不需要发两次问题。
CSRF protection techniques 的可能重复项
你的问题有点含糊。您担心的是您的应用程序还是 Tomcat 本身？在这两种情况下，您能否提供一些有关 Tomcat 版本、语言、使用的框架等的信息？
我认为是两种情况，目前我在我的项目中使用的是tomcat 5.5.13
两种情况都需要，目前我使用的是tomcat 5.5.13。 IU前端Extjs和javascript，后端使用Java和控制jsp。如果不可行，请给我 Tomcat 方面的解决方案。

标签： javascript tomcat6 csrf csrf-protection

【解决方案1】：

Tomcat 7 和 Tomcat 6.0.30 已内置 CSRF 保护（您需要激活它）。

http://www.tomcatexpert.com/blog/2011/05/09/cross-site-request-forgery

【讨论】：

我用了一天多的时间，让它工作，但我没有链接这个实现。
链接已不存在，但谷歌有缓存：s.apache.org/peqS

【解决方案2】：

首先是Tomcat；证明我错了，但我认为容器本身目前不存在 CSRF 漏洞。

如果您担心任何其他 Tomcat 漏洞，我建议您订阅SecurityFocus 的一些邮件列表，尤其是 BugTraq，并经常查看Tomcat 5 Security page。最重要的部分：保持 Tomcat 的补丁和最新。

关于应用程序，在不知道或查看代码的情况下，很难告诉您如何保护您的应用程序，但是here in the OWASP Wiki，有一些通用的方法可以理解、避免和测试 CSRF 漏洞。

另一种选择是早期采用Tomcat 7，它具有'CSRF Prevention Filter'。还有人想backport this to Tomcat 5/6。

【讨论】：