1. 首頁
  2. 問答
  3. 變化CSRF令牌

變化CSRF令牌

2014-10-11 146 views
1

我使用CSRF春季安全,像這樣變化CSRF令牌

<http auto-config="false" > 
    ... 
    <csrf /> 
    ... 
</http>

,並把每一個JSP頁面這樣

<meta name="_csrf" content="${_csrf.token}" /> 
<meta name="_csrf_header" content="${_csrf.headerName}" />

的問題是,每次我刷新頁面,我想更改令牌。但只要用戶登錄,令牌不會改變。

來源

2014-10-11 Farhad

+0

我很好奇,你爲什麼要改變每個頁面的令牌刷新? – holmis83 2014-10-13 07:31:23

+1

登錄用戶可能正在策劃攻擊。軟件安全對我們很重要。 – Farhad 2014-10-13 21:21:40

回答

0

Spring默認使用每會話csrf,你可以檢查它的實現here。 每個更改令牌,我建議你實現你自己的。並在需要時調用其方法重置令牌。

來源

2015-05-09 03:27:10 Hlex

相關問題

 相關問題