在Liferay中防止跨站点请求伪造

时间:2010-07-30 07:33:24

标签: java liferay portlet

在基于Liferay 5.2.3的网站上进行CSRF校对的最佳做法是什么? OWASP建议使用同步器令牌模式(http://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet#General_Recommendation:_Synchronizer_Token_Pattern),但手动执行此操作似乎很繁琐,尤其是跨多个portlet共享令牌。

应该配备一个综合的portlet容器来处理这个问题,来自Liferay网站的bug report似乎也暗示了这一点。但是,我找不到有关如何执行此操作的更多信息。

1 个答案:

答案 0 :(得分:0)

如果您使用Tomcat 6或更高版本,则可以使用跨站点请求防伪过滤器, 在类org.apache.catalina.filters.CsrfPreventionFilter中实现。请参阅Apache Tomcat文档。也许,帮助你。