在Java EE，Struts 1.3中禁用CSRF Guard

Question

我想在tomcat中禁用CSRF警衛。我不知道如何讓後面的頁面刷新按鈕起作用。目前，我只想禁用與csrf相關的所有內容。爲此目的，有一個文件 Owasp.CsrfGuard.Properties文件。有以下屬性：

org.owasp.csrfguard.TokenName=OWASP_CSRFTOKEN 
org.owasp.csrfguard.TokenLength=32 
org.owasp.csrfguard.PRNG=SHA1PRNG 
org.owasp.csrfguard.Logger=org.owasp.csrfguard.log.ConsoleLogger 
org.owasp.csrfguard.NewTokenLandingPage=PYEntry.jsp 

org.owasp.csrfguard.action.Log=org.owasp.csrfguard.action.Log 
org.owasp.csrfguard.action.Log.Message=potential cross-site request forgery (CSRF) attack thwarted (user:%user%, ip:%remote_ip%, uri:%request_uri%, error:%exception_message%) 

org.owasp.csrfguard.unprotected.QualificationPage=/pondicheryJan30/qualification.do 
org.owasp.csrfguard.unprotected.PersonalPage=/pondicheryJan30/personal.do 
org.owasp.csrfguard.unprotected.DownloadResume=/pondicheryJan30/DownloadResumeAction.do 
org.owasp.csrfguard.unprotected.allotUpdatePage=/pondicheryJan30/allotUpdate.do 
org.owasp.csrfguard.unprotected.PersonalEditPage=/pondicheryJan30/personalEdit.do 


org.owasp.csrfguard.action.Redirect=org.owasp.csrfguard.action.Redirect 
org.owasp.csrfguard.action.Redirect.Page=globalerror.jsp 

Answer 1

這是專門用於防止跨站點請求僞造的CSRF Guard。

如果你想禁用Csrf Guard。 轉到您的web.xml文件，並從web.xml中刪除或註釋csrf和XSS過濾器

Answer 2

我知道這是舊的，但對於任何尋找解決方案的人，請嘗試以下操作。

添加以下屬性

org.owasp.csrfguard.Enabled=false 

也可以嘗試明確設置這些屬性，每頁令牌不執行和旋轉每個請求的令牌。這些應該被默認禁用。但我建議讓這些可能性得到緩解。

org.owasp.csrfguard.TokenPerPage=false 
org.owasp.csrfguard.TokenPerPagePrecreate=false 
org.owasp.csrfguard.Rotate=false 

由於保存的鏈接標記已經過期，旋轉標記通常會導致後退和前進導航問題。