Tomcat (apache-tomcat-6.0.32) の CSRF アプローチを使用してセキュリティ スキャン (クロス サイト フォージェリを回避するため) に取り組んでいますが、firefox で次の問題が発生して
います。方法Firefoxは複数のセッションを作成します。2. ページに何らかの例外 (JSP 例外など) が発生したとき。Firefox はそれを CSRFPreventionFilter にリダイレクトし、このフィルターは新しいセッションを作成します。3. アプリケーションをトラバースしているときに、CSRFPreventionFilter フィルターが新しいセッションを作成することもあります。
質問する
277 次
1 に答える
0
の作成はHttpSession設計によるものです。 はCSRFPreventionFilterオブジェクトHttpSessionを使用して、URL を保護するために使用されるノンスを格納します。
CSRFPreventionFilterセッションを呼び出すだけHttpServletRequest.getSession(true)で決して無効にしないため、追加のセッションを作成する (またはセッションを切り替える) べきではありません。
Tomcat の最近のバージョンでは、認証の境界を越えたとき (つまり、ユーザー名とパスワードを入力したとき) にセッション ID が変更されることに注意してください。これは、別の種類の攻撃であるセッション固定に対する軽減策です。
于 2012-07-27T14:04:41.480 に答える