那些遇到过的问题

Tomcat 7和CSRF过滤器

use*_*894 4 tomcat csrf csrf-protection tomcat7

我正在尝试将CS​​RF保护添加到java Web应用程序中.我有web.xml配置了CSRF过滤器和过滤器到servlet的映射.但是,我不知道下一部分该怎么做.文档说,返回给客户端的所有URL都是通过调用HttpServletResponse #creditRedirectURL(String)或HttpServletResponse #creditURL(String)来编码的.他们还说你可以尝试:或者可以将nonce作为带有名称org的请求参数传回. apache.catalina.filters.CSRF_NONCE,它是常量org.apache.catalina.filters.Constants.CSRF_NONCE_REQUEST_PARAM的值.

更新 我仍然被禁止获得403.有人有什么建议吗?这是web.xml设置:

<filter>
    <filter-name>CSRF</filter-name>
    <filter-class>org.apache.catalina.filters.CsrfPreventionFilter</filter-class>
    <init-param>
      <param-name>entryPoints</param-name>
      <param-value>/html,/html/</param-value>
    </init-param>
  </filter>

  <filter-mapping>
    <filter-name>CSRF</filter-name>
    <servlet-name>exampleservlet</servlet-name>
  </filter-mapping>
Run Code Online (Sandbox Code Playgroud)

这是JSP页面代码

<FORM METHOD="POST"  ACTION="<%=response.encodeURL("/exampleservlet")%>">
        <INPUT TYPE="HIDDEN" NAME="org.apache.catalina.filters.CSRF_NONCE" VALUE="<%=session.getAttribute("org.apache.catalina.filters.CSRF_NONCE")%>">
        <INPUT TYPE="HIDDEN" NAME="id" VALUE="0">
Run Code Online (Sandbox Code Playgroud)

我究竟做错了什么?

小智 5

我认为这个问题现在已经不再重要,因为这个问题是在几年前提出的,但我偶尔会访问它以获得一些使用的提示org.apache.catalina.filters.CsrfPreventionFilter.正如tomcat官方网站CSRF_Prevention_Filter上的文档所述,CsrfPreventionFilter假设这被映射到"/*",并使用init-param命名的"entryPoints"来保存URL

提供一种在导航远离它后导航回受保护应用程序的方法

我将尝试以CsrfPreventionFilter简单的方式解释所完成的工作:

  1. 首先,当客户端访问应用程序时,请求的URL必须由过滤器映射并匹配其中一个entryPoints.所以这CsrfPreventionFilter可能会产生一个新的随机数,并存储到会话包装的响应压倒一切的 HttpServletResponse#encodeRedirectURL(String)HttpServletResponse#encodeURL(String),而不会阻塞请求(通过返回403) .
  2. HttpServletResponse#encodeRedirectURL(String) or HttpServletResponse#encodeURL(String)正如您在表单操作中所做的那样,页面中的URL应该由编码.事实上,"编码"是在第一步中附加请求参数名称"org.apache.catalina.filters.CSRF_NONCE",其值为filter生成的nonce.
  3. 当客户端访问页面中编码的URL时,CsrfPreventionFilter会检查请求是否有效 - nonce是否匹配当前会话中存储的那些(使用大小为5的LRUCache默认值,可以通过init-param设置nonceCacheSize).

因此,除非exampleservlet您声明的servlet 也映射到"/*"或" /html,/html/",并且/ html可能导致页面保存表单,否则您的代码将无效.

因为您使用的响应

<FORM METHOD="POST" ACTION="<%=response.encodeURL("/exampleservlet")%>">

没有被包裹,CsrfPreventionFilter并且不会做魔法来附加nonce.

不是

<INPUT TYPE="HIDDEN" NAME="org.apache.catalina.filters.CSRF_NONCE" VALUE="<%=session.getAttribute("org.apache.catalina.filters.CSRF_NONCE")%>">

会成功,因为过滤器从未设置过会话属性"org.apache.catalina.filters.CSRF_NONCE".即使有一个,它仍然拥有一个LRUCache实例,但不是一个nonce字符串.

归档时间:

查看次数:

5402 次

最近记录:

8 年,2 月 前
相关归档
如何改变Tomcat 7的服务器时区? 15
如何强制浏览器在内容类型的http标头中设置charset 12
Web应用程序[]注册了JDBC驱动程序[com.mysql.jdbc.Driver],但在Web应用程序停止时无法注销它 11
Spring Ioc容器如何与Tomcat容器交互 7
CSRF 和 iframe 7
Eclipse,tomcat,404错误 6
Tomcat7 JDBC池 3
组件ID j_id?:已在视图中找到名称. 2
IntelliJ Jersey Web服务部署(一些提示和模板项目) 2
Tomcat 8 正在运行但拒绝连接 1
难疑归档
将本地存储库分支重置为远程存储库HEAD 3488
__str__和__repr__之间的区别? 2545
如何在Python中复制文件? 2171
什么是反思,为什么它有用? 2011
如何在TextView中水平和垂直居中文本? 1932
在JavaScript中将字符串转换为整数? 1603
如何在Ruby on Rails迁移中重命名数据库列? 1419
在Python中使用大写字母和数字生成随机字符串 1247
C中的函数指针如何工作? 1170
用PHP清理用户输入的最佳方法是什么? 1069