Tomcat 7 中的 CSRF 保护

【问题标题】:CSRF protection in Tomcat 7Tomcat 7 中的 CSRF 保护
【发布时间】:2014-05-02 09:21:11
【问题描述】:

如何使用 Tomcat 7 防止 CSRF 保护?

听说tomcat 7提供了CSRF过滤器 http://tomcat.apache.org/tomcat-7.0-doc/api/org/apache/catalina/filters/CsrfPreventionFilter.html

但它是线程安全的吗?

或者我们应该在我们的 spring 3 应用程序中做一个自定义保护?

【问题讨论】:

    标签: spring tomcat tomcat7 csrf


    【解决方案1】:

    CsrfPreventionFilter 是防止 CSRF 攻击的好方法,尽管它是 tomcat 代码库的一部分并且基于将令牌放在 URL 中。

    这意味着令牌将被记录等,最好将令牌放在页面的每个表单中的隐藏字段中。

    Spring security 3.2 将具有内置支持,并且该解决方案也适用于其他应用程序服务器。但是根据您的应用程序,可能不需要在 spring 级别构建自定义保护,tomcat 解决方案可以正常工作。

    tomcat 过滤器是线程安全的,因为每个 http 请求都由一个线程从头到尾处理,并且令牌缓存具有同步访问。

    【讨论】:

    • 对于 Tomcat,我没有在 URL 中看到任何令牌
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2012-06-28
    • 2017-03-26
    • 2015-01-13
    • 2013-11-03
    • 1970-01-01
    • 2011-05-18
    • 2020-12-18
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode