10
我正在研究我经常听到的东西,当在JSF 2.0中执行web应用程序时,您已经受到防护,无法使用crossite - 脚本和 - 请求伪造。从SO post以下摘录证实了这一点:JSF 2.0如何防止CSRF
在JSF 2.0这已经通过使用一个长期和自动生成的强值,而不是一个,而可预测的序列值,从而使其成为一个健壮CSRF预防改善。
有人可以提供一些这方面的更多细节?这个自动生成的值如何防止CSRF?谢谢!
A
回答
11
该自动生成的值如何防止CSRF?
因为它不能被猜到。因此,攻击者无法以攻击网站的形式在隐藏域中对其进行硬编码(除非目标站点存在XSS漏洞,因此可以直接通过XSS方式直接获取该值)。如果该值对JSF无效,则攻击网站提交的表单将不会被处理,而是生成一个ViewExpiredException。请注意,攻击者仍然需要获取会话ID,以便它可以通过jsessionid URL属性传回,因此原本“较弱”的CSRF保护仍需要一些XSS漏洞来获取会话ID。
毕竟,我的印象是你完全不理解CSRF是什么;如果你了解CSRF是什么,那么答案就是自我解释。在这种情况下,请检查以下问题:Am I under risk of CSRF attacks in a POST form that doesn't require the user to be logged in?
5
需要记住的一件事是,JSF 2.0中的CSRF保护是隐含的,并且仅对POST请求有效。
在JSF 2.2会有这个更明确的支持。我在这里简要解释一下:http://arjan-tijms.omnifaces.org/p/jsf-22.html
+0
所以对于GET请求? JSF 2.0可以做什么? – oikonomopo 2016-05-11 14:58:53
相关问题
- 1. 防止CSRF?
- 2. JSF 2.0; escape =“false”替代防止XSS?
- 3. 你如何防止特定CSRF攻击
- 4. 如何防止空格形式JSF h:inputText
- 5. 如何防止在JSF 2.0中使用GET方法提交表单?
- 6. 防止jQuery的CSRF和XSRF攻击$ .post
- 7. Cron Kohana动作和防止CSRF
- 8. 在使用CORS时防止CSRF?
- 9. 使用GWT的RequestFactory时防止CSRF
- 10. 防止CSRF请求 - SameSite不起作用
- 11. php防止csrf攻击多次提交
- 12. 防止csrf攻击在modx formit
- 13. 防止ASP.NET MVC中的CSRF攻击
- 14. 在grails中防止CSRF攻击?
- 15. 防止CSRF漏洞,CSRF的替代方法令牌
- 16. 如何防止涉及嵌入式iframe的CSRF/XSRF攻击?
- 17. 如何防止ajax应用程序中的CSRF攻击
- 18. 如何验证JQuery/AJAX引用来防止CSRF?
- 19. 状态参数如何防止CSRF攻击
- 20. 如何在RESTful应用程序中防止CSRF?
- 21. 如何防止春季mvc CSRF攻击4
- 22. 预防CSRF?
- 23. 如何防止
- 24. 如何防止
- 25. 如何防止JSP/JSF文件在部署时发生更改?
- 26. JSF 2.0 javax.faces.webapp.FacesServlet mappig
- 27. JSF 2.0和TransformerFactory
- 28. JSF 2.0组件
- 29. Selenium和JSF 2.0
- 30. JSF 2.0 f:setPropertyActionListener
https://www.packtpub.com/mapt/book/application_development/9781782176466/9/ch09lvl1sec84/jsf-security-notes – 2018-02-21 19:29:48