我正在考虑停止CSRF,而Struts 1有saveToken,isTokenValid和resetToken,它们很适合表单,它们似乎不适用于链接。我的意思是www.mysite.com/action/doSomething?id=123
有没有办法使用此功能通过这些链接停止CSRF?不幸的是,升级Struts不是一种选择。
答案 0 :(得分:0)
使用jsp页面中的隐藏字段存储当前会话值,然后在操作类中进行验证。
请查看以下链接了解更多详情 Cross-site request forgery prevention using struts token