在 spring-security 中更改 csrf 令牌

【问题标题】:change csrf token in spring-security在 spring-security 中更改 csrf 令牌
【发布时间】:2014-12-06 10:03:08
【问题描述】:

我在 Spring Security 中使用 csrf,像这样

<http auto-config="false" >
    ...
    <csrf />
    ...
</http>

并像这样放入每个jsp页面

<meta name="_csrf" content="${_csrf.token}" />
<meta name="_csrf_header" content="${_csrf.headerName}" />

问题是,每次我刷新页面时,我都想更改令牌。但只要用户登录,令牌就不会改变。

【问题讨论】:

  • 我是古玩,为什么要在每次页面刷新时更改令牌?
  • 登录用户可能正在计划攻击。软件的安全性对我们很重要。

标签: spring spring-security csrf


【解决方案1】:

Spring 默认使用 per-session csrf,你可以查看here 了解它的实现。 根据更改令牌,我建议您实施自己的 .并在需要时调用其方法重置令牌。

【讨论】:

    猜你喜欢
    • 2017-09-07
    • 1970-01-01
    • 2012-03-06
    • 2020-07-19
    • 2019-07-20
    • 2015-08-25
    • 2014-04-26
    • 2015-05-10
    • 2013-08-28
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode