【发布时间】:2015-10-19 18:50:26
【问题描述】:
我正在按照本教程学习基于 Spring 框架 3.2.4 的应用程序
http://springdiaries.blogspot.be/2012/12/web-security-preventing-csrf-attack.html#comment-form
关键是我已经检查了会话中的所有对象,但我没有找到任何具有 OWASP_CSRFTOKEN 密钥的对象,这是否可以正常工作?
【问题讨论】:
-
那你没有按照教程或者你检查的方式不对。你如何检查会话变量。还贴一些你正在使用的代码(不要参考我们想看你的代码的教程)。
-
为什么不用spring-security? spring security 内置了 csrf-protection。
-
它可以在不定义用户/角色的情况下工作?
-
如果您没有用户,您能否更详细地解释一下您试图保护自己免受哪种 CSRF 威胁场景?
-
我有用户,但我想避免修改数据库
标签: security spring-mvc csrf csrf-protection owasp