那些遇到过的问题

Spring安全性中每个请求的不同csrf令牌

Sha*_*dav 7 java spring csrf spring-security csrf-protection

<csrf/>在我的spring security xml文件中使用tag作为web项目.并以一种形式发送csrf令牌:

<form action="" method="post">
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
</form>
Run Code Online (Sandbox Code Playgroud)

但是在通过BurpSuite拦截请求时,我会在每个请求上获得相同的csrf令牌,直到会话持续存在.

有什么办法可以为每个请求发送不同的csrf令牌,而不是每个会话在spring security中.

我正在使用3.2.4弹簧安全罐.

use*_*339 5

CSRF令牌的默认持续时间是会话持续时间.CSRF令牌存储在HTTP会话中,因此基于每个会话生成. 有关更多详细信息,请查看CSRF上的Spring Security文档.

Spring Security可以扩展以满足个人需求,因此可以根据您的需要进行扩展.

但是,这种扩展会影响可用性:

  1. 在第二个选项卡中打开Web应用程序将导致一个或两个选项卡中的会话中断.
  2. 提交的表单上的"后退"按钮可能会导致一些奇怪的错误.

归档时间:

查看次数:

4969 次

最近记录:

8 年,7 月 前
相关归档
如何使用Java属性文件? 218
Java 8 LocalDate Jackson格式 110
Deep clone实用程序推荐 72
如何设置intellij以在日志选项卡而不是输出选项卡中显示日志 14
Intellij错误:原因:org.gradle.internal.component.external.model.DefaultModuleComponentSelector 11
按连接表的字段 Spring JPA 排序 7
Spring @ConditionalOnProperty具有Value =“ value1”或“ value2” 7
删除使用spring-security-core类的用户对象时的完整性约束违规 5
Spring Security与XACML集成(或任何其他基于策略的解决方案) 5
当我在授权标头中发送我的有效承载令牌时,为什么我没有通过我的 Spring-Cloud Gateway/OAuth2-Client 进行身份验证? 5
难疑归档
从脚本本身获取Bash脚本的源目录 4672
如何有效地配对袜子? 3850
你如何创建一个远程Git分支? 3030
设置JavaScript函数的默认参数值 2277
查找当前目录和文件的目录 2007
JavaScript等效于printf/String.Format 1874
如何在Linux中更改echo的输出颜色 1582
对于数组,为什么a [5] == 5 [a]? 1567
如何在Python中通过索引从列表中删除元素? 1381
在Python中查找扩展名为.txt的目录中的所有文件 1043