これは非常に広範な質問であることは承知していますが、完全な実装について質問するつもりはありません (それを実行してくれるライブラリがあることは知っています)。それについていくつかの小さな質問があります。
- nonce 値は http ヘッダーに入るべきですか?
- クライアント側で http ヘッダーからノンスを読み取るにはどうすればよいですか?
- nonce をサーバーに送り返すにはどうすればよいですか? もしかして隠しフィールド?または、ブラウザは後続のリクエストごとにそれを行いますか?
- クライアントナンス (cnonce) に関しては、他のフィールドや非表示フィールドと同じ方法で送信する必要がありますか?
- サーバーから cnonce を取得するにはどうすればよいですか? ノンスと同じ?
私のプロジェクトでは、サーブレットを使用して html ページを生成しており、http ログイン フォームを処理するサーブレットがあります。