我是Spring Security的新手;在教程的帮助下,我可以设置内存身份验证和CSRF令牌。这很好用;用户经过身份验证并生成令牌。
问题:当我使用fiddler截取我自己的表单帖子时,修改POST参数并执行HTTP POST请求它成功提交200 OK代码的请求。在这种情况下我期待403。
我认为实现此目标的一个解决方案是为每个请求而不是每个会话生成令牌。但这种方法有它自己的问题。
请您建议更好的方法来防范此类情况? 上述场景是否也证明了会话固定攻击?
致以最诚挚的问候,
答案 0 :(得分:0)
CSRF令牌不会保护您免受中间人攻击。 CSRF令牌通常只是一个随机字符串,一个共享密钥。它不是加密签名。
保护中间人的一种简单方法是使用HTTPS协议。