tomcat(apache-tomcat-6.0.32)的 CSRF 方法在 firefox 14.0.1 上无法正常工作

【问题标题】:CSRF approach of tomcat(apache-tomcat-6.0.32) not working fine on firefox 14.0.1tomcat(apache-tomcat-6.0.32)的 CSRF 方法在 firefox 14.0.1 上无法正常工作
【发布时间】:2012-07-27 22:04:41
【问题描述】:

我正在使用 tomcat(apache-tomcat-6.0.32) 的 CSRF 方法进行安全扫描(以避免跨站点伪造),但我在 firefox 遇到以下问题:
1. 火狐不支持tomcat提供的CSRF,火狐创建多个会话。 2. 每当页面出现任何异常(如 JSP 异常)时。 Firefox 将其重定向到 CSRFPreventionFilter 并且此过滤器创建新会话。 3. 有时在遍历应用程序时,CSRFPreventionFilter 过滤器也会创建新会话。

【问题讨论】:

    标签: firefox tomcat csrf


    【解决方案1】:

    HttpSession 的创建是设计使然:CSRFPreventionFilter 使用HttpSession 对象来存储用于保护您的 URL 的随机数。

    CSRFPreventionFilter 只调用HttpServletRequest.getSession(true) 并且从不使会话无效,因此它不应该创建任何额外的会话(或切换会话)。

    请注意,最新版本的 Tomcat 会在跨越身份验证边界时更改会话 ID(即当您输入用户名和密码时)。这是针对另一种攻击的缓解措施:会话固定。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2013-07-09
      • 2017-11-09
      • 1970-01-01
      • 1970-01-01
      • 2020-06-11
      • 2021-01-10
      • 2017-07-04
      • 2013-09-24
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode