fas*_*ser 6 java apache csrf csrf-protection
我将在我的Web应用程序中避免使用CSRF atack.
我在我的apache上设置了csrf配置,如下所示:
<VirtualHost>
...
CSRF_Enable on
CSRF_Action deny
CSRF_EnableReferer off
</VirtualHost>
另外,我安装了以下apache模块:
mod_csrf-0.3
mod_parp-0.12
mod_setenvifplus-0.23
在某些情况下有可能忽略CRSF.
所有东西都运行正常,即csrfpid添加到所有POST方法,不添加到GET.
但是发现了一个问题.当我尝试使用参数发送GET方法时: www.example.com/test.jsp?csffpid = some_csrf_id&some_attribute = 0, csrfpid标记已附加到链接.
我试过玩:
SetEnvIfPlus Request_Method "GET" CSRF_IGNORE=yes.
但是,它在我的情况下不起作用.
另外,我发现,问题是通过mod_csrf.c文件引起的.
获得关于所描述的案例的一些想法或有用的链接将是很好的.
| 归档时间: |
|
| 查看次数: |
1457 次 |
| 最近记录: |