Als «csrf-protection» getaggte Fragen

2
CSRF-Token bei Verwendung der zustandslosen (= sitzungslosen) Authentifizierung erforderlich?
Ist es erforderlich, CSRF-Schutz zu verwenden, wenn die Anwendung auf einer zustandslosen Authentifizierung basiert (unter Verwendung von HMAC)? Beispiel: Wir haben eine App für eine einzelne Seite (andernfalls müssen wir das Token an jeden Link anhängen : <a href="...?token=xyz">...</a>. Der Benutzer authentifiziert sich mit POST /auth. Bei erfolgreicher Authentifizierung gibt …
11
Für den Anforderungsparameter '_csrf' oder den Header 'X-CSRF-TOKEN' wurde ein ungültiges CSRF-Token 'null' gefunden.
Ist nach der Konfiguration von Spring Security 3.2 _csrf.tokennicht an eine Anforderung oder ein Sitzungsobjekt gebunden. Dies ist die Federsicherheitskonfiguration: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/> <form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=1" default-target-url="/index.jsp"/> <logout/> <csrf /> </http> <authentication-manager> <authentication-provider> <user-service> <user name="test" password="test" authorities="ROLE_USER/> </user-service> </authentication-provider> </authentication-manager> Die Datei login.jsp <form name="f" …
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.