Програмування csrf-protection

CSK-токен необхідний при використанні автентифікації без громадянства (= без сесії)?

Чи потрібно використовувати захист CSRF, коли програма покладається на автентифікацію без стану (використовуючи щось на зразок HMAC)? Приклад: У нас є один додаток сторінки ( в іншому випадку ми повинні додати маркер на кожному посиланні: <a href="...?token=xyz">...</a>. Користувач аутентифікує себе за допомогою POST /auth. Після успішної аутентифікації сервер поверне деякий …

125 authentication csrf single-page-application stateless csrf-protection

Недійсний маркер CSRF 'null' знайдено у параметрі запиту '_csrf' або заголовку 'X-CSRF-TOKEN'

Після налаштування Spring Security 3.2 _csrf.tokenне пов'язаний із запитом або об'єктом сеансу. Це конфігурація безпеки навесні: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/> <form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=1" default-target-url="/index.jsp"/> <logout/> <csrf /> </http> <authentication-manager> <authentication-provider> <user-service> <user name="test" password="test" authorities="ROLE_USER/> </user-service> </authentication-provider> </authentication-manager> Файл login.jsp <form name="f" action="${contextPath}/j_spring_security_check" method="post" > <input type="hidden" …

90 spring spring-security csrf csrf-protection

Запитання з тегом «csrf-protection»