【发布时间】:2015-01-08 02:21:46
【问题描述】:
我正在根据doc 使用 Spring 安全性实现 CSRF 保护
我的一个问题是:这个令牌什么时候会被 Spring 安全性失效? 每次提交请求时令牌都会失效吗?
【问题讨论】:
标签: java spring-security csrf-protection
【发布时间】:2015-01-08 02:21:46
【问题描述】:
默认情况下,CSRF 令牌存储在 HTTP 会话中,并在每个会话的基础上生成。有关详细信息,请参阅the official Spring Security documentation。因此,CSRF 令牌的默认生命周期是会话持续时间。
与 Spring Security 中的其他所有内容一样,CSRF 令牌的存储和检索可以自定义以满足个人需求。这样做的方法是为CsrfTokenRepository 创建一个实现。自定义实现可以根据每个请求更改令牌,将令牌存储在关系数据库中,等等。
【讨论】:
-
谢谢。由于 CSRF 令牌的默认生命周期是会话,在此活动会话期间,CSRF 攻击者链接可以攻击我的网站,对吗? [我的意思是,如果我在会话处于活动状态时单击攻击者链接]
-
不,那是 CSRF 保护的场景。如果您在重要网站上的活动会话期间碰巧访问了恶意网站,则该恶意网站无法成功向该重要网站提交请求。这是因为攻击者没有会话的 CSRF 令牌,因此伪造的请求将被拒绝。