Pytania otagowane jako csrf-protection

2
Token CSRF jest potrzebny podczas korzystania z uwierzytelniania bezstanowego (= bezsesyjnego)?
Czy konieczne jest stosowanie ochrony CSRF, gdy aplikacja opiera się na uwierzytelnianiu bezstanowym (przy użyciu czegoś takiego jak HMAC)? Przykład: Mamy jedną aplikację, stronę (w przeciwnym razie mamy do dołączania żeton na każdym linku: <a href="...?token=xyz">...</a>. Użytkownik uwierzytelnia się za pomocą POST /auth. Po pomyślnym uwierzytelnieniu serwer zwróci pewien token. …
11
W parametrze żądania „_csrf” lub nagłówku „X-CSRF-TOKEN” znaleziono nieprawidłowy token CSRF „null”
Po skonfigurowaniu Spring Security 3.2 _csrf.tokennie jest powiązany z żądaniem ani obiektem sesji. Oto konfiguracja zabezpieczeń wiosny: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/> <form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=1" default-target-url="/index.jsp"/> <logout/> <csrf /> </http> <authentication-manager> <authentication-provider> <user-service> <user name="test" password="test" authorities="ROLE_USER/> </user-service> </authentication-provider> </authentication-manager> Plik login.jsp <form name="f" action="${contextPath}/j_spring_security_check" method="post" > <input …
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.