0
如何使用Tomcat 7防止CSRF保护?Tomcat中的CSRF保护7
我听说的Tomcat 7提供了CSRF过滤 http://tomcat.apache.org/tomcat-7.0-doc/api/org/apache/catalina/filters/CsrfPreventionFilter.html
但它是线程安全的?
或者我们是否会在我们的spring 3应用程序中进行自定义保护?
如何使用Tomcat 7防止CSRF保护?Tomcat中的CSRF保护7
我听说的Tomcat 7提供了CSRF过滤 http://tomcat.apache.org/tomcat-7.0-doc/api/org/apache/catalina/filters/CsrfPreventionFilter.html
但它是线程安全的?
或者我们是否会在我们的spring 3应用程序中进行自定义保护?
CsrfPreventionFilter
是防止CSRF攻击的好方法,尽管它是tomcat代码库的一部分,并且基于将该令牌放入URL中。
这意味着令牌将被记录等,最好将令牌放在每个页面的隐藏字段中。
Spring Security 3.2将具有内置的支持,该解决方案也可以在其他应用程序服务器上运行。但根据您的应用程序,可能不需要在spring级别构建自定义保护,tomcat解决方案可以正常工作。
tomcat过滤器是线程安全的,因为每个http请求都由一个线程从头到尾进行处理,并且令牌缓存具有同步访问权限。