5

クロスサイト リクエスト フォージェリ攻撃を防ぐために、struts.xml とすべてのフォームにインターセプターを追加しました。私は他に何かすべきかどうか疑問に思っていますか?自動的に行われない場合に備えて、トークンを取得し、フォームとともに送信するものと照合するなど。

  <interceptors>
            <interceptor-stack name="defaultSecurityStack">
                <interceptor-ref name="defaultStack"/>
                <interceptor-ref  name="tokenSession">
                       <param name="excludeMethods">*</param>    
                </interceptor-ref>                    
            </interceptor-stack>
  </interceptors>

 <default-interceptor-ref name="defaultSecurityStack"/>

すべてのフォームは

  <s:form ...>
      <s:token/>
      ...
  </s:form>
4

2 に答える 2

2

csrf 隠しフィールドを省略してフォームリクエストを送信すると、期待どおりに動作するかどうかを確認できます。これを行うには、 Tamper Dataを使用できます。これは Firefox プラグインです。送信ボタンをクリックすると、http リクエストがキャプチャされ、リクエストの内容が表示されます。そこにあるすべてを変更できます。そのため、そのメソッドを使用して、投稿本文から csrf 入力を省略できます。最後に、バックエンドが魅力的に機能しているかどうかをテストします。

また、すべてが期待どおりに機能する場合。他のこともする必要はありません。これにより、アプリケーションが csrf 攻撃から保護されます。

于 2014-04-08T07:14:15.367 に答える