GET方法中的CSRF令牌

时间:2014-02-12 12:11:49

标签: java apache csrf csrf-protection

我将在我的网络应用程序中避免使用CSRF。

我已经在我的apache上设置了csrf配置,如下所示:

<VirtualHost>
...

    CSRF_Enable on
    CSRF_Action deny
    CSRF_EnableReferer off


</VirtualHost>

另外,我安装了以下apache模块:

mod_csrf-0.3
mod_parp-0.12
mod_setenvifplus-0.23

在某些情况下有可能忽略CRSF。

所有内容都运行良好,即 csrfpid 添加到所有POST方法,并且不会添加到GET。

但是发现了一个问题。当我尝试使用参数发送GET方法时: 的 www.example.com/test.jsp?csrfpid=some_csrf_id&some_attribute=0 下, csrfpid 令牌已附加到链接。

我试过玩:

SetEnvIfPlus Request_Method "GET" CSRF_IGNORE=yes.

但是,它在我的情况下不起作用。

另外,我发现问题是通过 mod_csrf.c 文件引起的。

获得有关所述案例的一些想法或有用的链接会很好。

0 个答案:

没有答案