1
我最近在我的Web应用程序中启用了CSRF保护。有大约100多个包含FORM提交的JSP页面。什么是添加CSRF令牌的最佳方式:向所有FORM提交添加CSRF令牌
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
,使得所有的表单提交才会有这种形式的数据。我不想将此参数添加到每个单独的FORM提交。
A
回答
0
所以我终于找到了一个可行的解决方案。基本上我创建一个自定义FormRenderer这样的:
import com.sun.faces.renderkit.html_basic.FormRenderer;
import javax.el.ELContext;
import javax.el.ExpressionFactory;
import javax.faces.component.UIComponent;
import javax.faces.context.FacesContext;
import javax.faces.context.ResponseWriter;
import java.io.IOException;
public class FormWithCSRFRenderer extends FormRenderer {
@Override
public void encodeEnd(FacesContext context, UIComponent component) throws IOException {
log.debug("FormWithCSRFRenderer - Adding CSRF Token to form element");
ELContext elContext = context.getELContext();
ExpressionFactory expFactory = context.getApplication().getExpressionFactory();
ResponseWriter writer = context.getResponseWriter();
writer.startElement("input", component);
writer.writeAttribute("type", "hidden", null);
writer.writeAttribute("name", expFactory.createValueExpression(elContext, "${_csrf.parameterName}", String.class).getValue(elContext), null);
writer.writeAttribute("value", expFactory.createValueExpression(elContext, "${_csrf.token}", String.class).getValue(elContext), null);
writer.endElement("input");
writer.write("\n");
super.encodeEnd(context, component);
}
}
然后通过faces-config.xml设置它注册它覆盖FormRenderer:
<?xml version="1.0" encoding="UTF-8"?>
<faces-config xmlns="http://xmlns.jcp.org/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-facesconfig_2_2.xsd"
version="2.2">
<render-kit>
<renderer>
<component-family>javax.faces.Form</component-family>
<renderer-type>javax.faces.Form</renderer-type>
<renderer-class>com.acme.FormWithCSRFRenderer</renderer-class>
</renderer>
</render-kit>
</faces-config>
我试图创建一个组件,然后将其添加为孩子,但它不会让我正确设置输入的名称,所以我直接写它。
相关问题
- 1. 为window.location.href添加CSRF令牌
- 2. Symfony 2 Ajax提交,令牌CSRF无效
- 3. 添加CSRF令牌mockmvc和JUnit
- 4. 如何添加CSRF令牌ID重定向() - >操作
- 5. 笨,CSRF令牌
- 6. 禁用symfony的CSRF 2 Ajax的令牌保护提交
- 7. API Rest“CSRF令牌无效,请尝试重新提交表单。”
- 8. laravel ajax表单提交csrf令牌不起作用
- 9. 在提交表单和验证表单后更改CSRF令牌
- 10. 当使用AJAX提交表单时,CSRF令牌不起作用
- 11. Symfony 3 - CSRF令牌无效。请尝试重新提交表格
- 12. 如何在邮递员提交不CSRF令牌laravel
- 13. Django的CSRF令牌
- 14. 变化CSRF令牌
- 15. CSRF同步令牌
- 16. CSRF令牌生成
- 17. 追加到请求的CSRF令牌
- 18. 向所有Unix命令添加--color
- 19. CSRF 403禁止 - 无效的CSRF令牌
- 20. Django的 - CSRF令牌没有定义
- 21. 没有浏览器的Django CSRF令牌
- 22. 在PHP中没有Cookie的CSRF令牌
- 23. CSRF令牌未自动添加为隐藏参数
- 24. 使用表单数据添加laravel CSRF令牌
- 25. 删除AEM查询参数并添加CSRF令牌
- 26. Symfony:使CSRF令牌可用于所有的树枝模板
- 27. 需要CSRF令牌吗?
- 28. CodeIgniter的CSRF令牌问题
- 29. Csrf令牌缩放问题
- 30. CSRF令牌春季安全
也许你想使用ajax? – FreezY
我正要问同样的问题,我也试图创建自己的表单标签,但属性有点复杂,包括/传递给内部表单。接下来是在渲染时重写表单行为。将让你张贴 – TecHunter
最简单的方法是使用JavaScript将此元素添加到每个表单 – TecHunter