爲了防止CSRF攻擊,我需要重新表達一個web應用程序(沒有標記庫的jsp)。我不能使用這裏描述的算法,但我認爲nonce id對我來說是最好的解決方案:https://tomcat.apache.org/tomcat-8.0-doc/config/filter.html#CSRF_Prevention_Filter_for_REST_APIs 應用這些參數非常昂貴,因爲我必須更改所有調用請求(爲每個Post和Force客戶端添加get做第二次調用),所以我決定添加一個輸入隱藏文本框在我的所有jsp中使用靜態包含導入,以及用於匹配會話Nonce ID和請求隨機數ID的Java Filter。它是我的解決方案,是一種很好的做法,是休息算法的替代方案嗎 對不起,我的英語不好..在網站POST請求中阻止CSRF
謝謝!
羅比
真正的保護是什麼意思?例如http secure(https/tls)? – robyp7
@ robyp7,這實際上是一個很好的問題。通過真正的保護,我指的是不相信客戶端的數據是正確的,並在服務器端執行所有與安全相關的重要內容。當然,你需要確保沒有SQL注入的可能性,你應對DDOS攻擊等等等等。在這個話題中,字面上有很多書,我們只是抓住了表面。 –