【发布时间】:2018-01-04 19:53:30
【问题描述】:
在我们的应用程序中,存在战争间通信。如果一个 WAR 向另一个 WAR 发送 http 请求。一个/第一个由 JSP 组成的 WAR,我们拥有 owasp csrf 保护的 Struts 已为其所有页面实现和配置。另一个/第二个 WAR 是由弹簧 JSF 制成的。我们在 faces-config.xml 配置文件中有<protected-views> <url-pattern>**/*.xhtml</url-pattern> 配置。当航海从第一次战争进入第二次战争。已经为第二次战争启用了 csrf 安全性。
这会导致阻塞 JSF 自己的流程抛出 403 禁止访问 + csfr 令牌空错误的问题。我不知道如何为 JSF 页面启用 csrf。
另外,我不想禁用 csrf 安全性。尝试谷歌搜索但没有帮助。剂量有些人有一些示例或教程链接。或者指导我如何做同样的事情。
请查找附件中的图片。
提前谢谢你
问候
【问题讨论】:
-
我已经尝试过使用
**/*.xhtml -
我没有说它会解决你的实际问题。 JSF 已经合并了 crsf,并且这个 Q/A 在 tne cmets 中声明对于 jsf 中的获取请求它是无用的
-
JSF 内置了 CSRF,因此如果您禁用 additional CSRF,您仍然拥有它。
-
嗨 Kukeltje,您能详细说明您的评论吗?
标签: java spring jsf-2 csrf jsf-2.2