1. 首页
  2. 问答
  3. 变化CSRF令牌

变化CSRF令牌

2014-10-11 148 views
1

我使用CSRF春季安全,像这样变化CSRF令牌

<http auto-config="false" > 
    ... 
    <csrf /> 
    ... 
</http>

,并把每一个JSP页面这样

<meta name="_csrf" content="${_csrf.token}" /> 
<meta name="_csrf_header" content="${_csrf.headerName}" />

的问题是,每次我刷新页面,我想更改令牌。但只要用户登录,令牌不会改变。

来源

2014-10-11 Farhad

+0

我很好奇,你为什么要改变每个页面的令牌刷新? – holmis83 2014-10-13 07:31:23

+1

登录用户可能正在策划攻击。软件安全对我们很重要。 – Farhad 2014-10-13 21:21:40

回答

0

Spring默认使用每会话csrf,你可以检查它的实现here。 每个更改令牌,我建议你实现你自己的。并在需要时调用其方法重置令牌。

来源

2015-05-09 03:27:10 Hlex

相关问题

 相关问题