1
我使用CSRF春季安全,像这样变化CSRF令牌
<http auto-config="false" >
...
<csrf />
...
</http>
,并把每一个JSP页面这样
<meta name="_csrf" content="${_csrf.token}" />
<meta name="_csrf_header" content="${_csrf.headerName}" />
的问题是,每次我刷新页面,我想更改令牌。但只要用户登录,令牌不会改变。
我很好奇,你为什么要改变每个页面的令牌刷新? – holmis83 2014-10-13 07:31:23
登录用户可能正在策划攻击。软件安全对我们很重要。 – Farhad 2014-10-13 21:21:40