我正在使用一个拥有12年历史的Java Web应用程序。它遵循客户的独特框架,而不是任何行业标准框架!最近为应用程序生成了一个Appscan报告,因此该应用程序具有非常关键的安全问题,例如容易出现CSRF,SQL注入等。
现在我必须在Java中实现纯粹的东西,而不使用任何框架并摆脱这种CSRF攻击。我做了一些谷歌并且知道我们必须在URL中附加一个临时令牌然后验证它。这是唯一的方法吗?我无法获得太多实用的解决方案。
在处理这种情况方面有经验的人吗?请帮我!
答案 0 :(得分:0)
防止CSRF攻击的最佳方法是将随机生成的令牌添加到从服务器呈现的每个响应中。在服务器收到的下一个请求中检索并检查令牌。如果令牌不匹配,则可能发生CSRF攻击。
由于您正在使用servlet,因此可以使用servlet过滤器来实现此功能。您可以使用doFilter(ServletRequest request, ServletResponse response)方法编写CSRF令牌检查功能。
通常,使用Spring Security等安全框架解决CSRF攻击相关威胁。