我将在我的网络应用程序中避免使用CSRF。
我已经在我的apache上设置了csrf配置,如下所示:
<VirtualHost>
...
CSRF_Enable on
CSRF_Action deny
CSRF_EnableReferer off
</VirtualHost>
另外,我安装了以下apache模块:
mod_csrf-0.3
mod_parp-0.12
mod_setenvifplus-0.23
在某些情况下有可能忽略CRSF。
所有内容都运行良好,即 csrfpid 添加到所有POST方法,并且不会添加到GET。
但是发现了一个问题。当我尝试使用参数发送GET方法时: 的 www.example.com/test.jsp?csrfpid=some_csrf_id&some_attribute=0 下, csrfpid 令牌已附加到链接。
我试过玩:
SetEnvIfPlus Request_Method "GET" CSRF_IGNORE=yes.
但是,它在我的情况下不起作用。
另外,我发现问题是通过 mod_csrf.c 文件引起的。
获得有关所述案例的一些想法或有用的链接会很好。