Questions tagged «csrf-protection»

当应用程序依赖无状态身份验证（使用HMAC之类的东西）时，是否有必要使用CSRF保护？ 例： 我们只有一个页面应用程序（否则，我们必须在每个链接上附加令牌：<a href="...?token=xyz">...</a>。 用户使用进行身份验证POST /auth。成功认证后，服务器将返回一些令牌。 令牌将通过JavaScript存储在单页应用程序内的某个变量中。 该令牌将用于访问受限制的URL，例如/admin。 令牌将始终在HTTP标头中传输。 没有Http会话，也没有Cookie。 据我了解，应该不会（？！）使用跨站点攻击，因为浏览器不会存储令牌，因此它无法自动将令牌发送到服务器（使用Cookies /时会发生这种情况。会话）。 我想念什么吗？

125 authentication  csrf  single-page-application  stateless  csrf-protection 

配置Spring Security 3.2之后，_csrf.token未绑定到请求或会话对象。 这是spring安全配置： <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/> <form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=1" default-target-url="/index.jsp"/> <logout/> <csrf /> </http> <authentication-manager> <authentication-provider> <user-service> <user name="test" password="test" authorities="ROLE_USER/> </user-service> </authentication-provider> </authentication-manager> login.jsp文件 <form name="f" action="${contextPath}/j_spring_security_check" method="post" > <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" /> <button id="ingresarButton" name="submit" type="submit" class="right" style="margin-right: 10px;">Ingresar</button> <span> <label for="usuario">Usuario …

90 spring  spring-security  csrf  csrf-protection