我在瀏覽器中運行spring web應用程序。我登錄到我的帳戶,並使用URL更新一些值說localhost:80/update/name
。在控制器端,我檢查principal==null
是否不重定向到登錄頁面。Spring安全:限制其他Web應用程序訪問
現在,而登錄到此應用程序。我在同一瀏覽器中打開其他Web應用程序頁面,並通過ajax調用執行相同的更新URL localhost:80/update/name
,它正在更新該值。我如何避免這種安全威脅。
我如何確保Application1更新網址將僅由application1請求執行?無論應用程序2是否在同一瀏覽器中,都不應允許應用程序2執行應用程序1的更新請求?
如何避免在同一瀏覽器,因爲我從APP2訪問APP1網址 – manish 2014-10-28 20:26:47
是啊我知道它在同一個瀏覽器會話中的COS將被啓用,直到註銷。但我的問題是如何防止這種訪問來自其他應用程序的其他應用程序請求 – manish 2014-10-28 20:40:04
如果您想防止跨站點請求僞造,spring security 3.2可以直接使用。它可以自動將'_csrf'令牌添加到任何表單並在表單提交中對其進行控制。對任何其他應用程序來說,隨機生成的令牌應該是未知的。 Spring Security參考手冊中有很好的例子。但它不完全是你所描述的;-) – 2014-10-28 20:53:29