Spring Security - CSRF - 如何重置CSRF令牌并记录潜在的CSRF攻击(OWASP推荐)

时间:2014-05-14 11:30:35

标签: security spring-security csrf csrf-protection owasp

我们在我们的应用程序中使用Spring Security框架,尤其是防止它反对CSRF攻击。

OWASP document about CSRF attacks prevention cheat sheet中,他们谈论了同步器令牌模式。因此,当提供错误的CSRF令牌时,他们建议:

  1. 中止请求
  2. 重置CSRF令牌
  3. 将事件记录为正在进行的潜在CSRF攻击

    4. 我做了一个测试,提供了错误的CSRF并获得了以下结果:

    1. 请求中止,响应状态设置为403(= Forbiden)
    2. 令牌未重置
    3. 一个简单的DEBUG日志由Spring CSRFFilter完成:"为 REQUESTED_URL找到无效的CSRF令牌"

      4. 所以,我的问题是:

      • Q1:是否可以要求Spring Security重置CSRF令牌?
      • Q2:是否有可能要求Spring Security记录WARN消息而不是DEBUG消息,告知正在进行的潜在CSRF攻击?

      感谢。

1 个答案:

答案 0 :(得分:0)

你并不孤单。我还在弄清楚如何重置令牌。

要回答q2,您可以指定自定义AccessDeniedHandler,它允许您以您喜欢的方式处理InvalidCsrfTokenException。您可以找到详细信息here

相关问题
最新问题