1

Web アプリケーションのページを保護するために、OWASP の CSRFGuard を実装しました。たとえば、*/myCsrfProtected.jsp です。アプリケーション内のすべての */myCsrfProtected.jsp に CSRF トークンを挿入しました。すべて正常に動作します。

ただし、この保護されたページへのリンクが電子メールでユーザーに送信される別の使用例があります。レポートへのリンクについて考えてみましょう。ユーザーがこのリンクをクリックすると、トークンが見つからないか無効になるため、CSRFGuard フィルターはこれが CSRF 攻撃であると想定してリクエストをブロックします。(これは、フィルタが実装されているものです:-))

このユース ケースを処理し、アプリケーションの外部から CSRF で保護されたページへのアクセスを許可する方法はありますか。

4

1 に答える 1

1

理想的には、CSRF トークン チェックは POST 要求に対してのみ実行する必要があります。GET リクエストは冪等であると想定されています ((サーバーへの副作用はなく、ユーザーに代わって実行されたトランザクションではなく、一部のデータを返すだけです)。

ユーザーがリンクをクリックしたときにレポートを返すだけであれば、csrf チェックを実行する必要はないかもしれません。ユーザーが承認されていることを確認したい場合があります。このリクエストのCSRFチェックをバイパスできるはずです

于 2012-11-29T07:38:12.527 に答える