我正在j2ee应用程序中实现XSRF保护。当用户登录时,我生成一个TOKEN并添加一个会话cookie:
response.addCookie(new Cookie("XSRF-TOKEN",TOKEN));
Utilities util = new Utilities(TOKEN);
request.getSession().setAttribute("utils", util);
除了添加cookie之外,我将TOKEN保存在Utilities对象中,并将util对象设置为会话属性。
然后,对于每request我检查request.getHeader("X-XSRF-TOKEN")是否与我保存在util对象中的TOKEN匹配。
这是实施XSRF保护的正确方法吗?我不是用户我应该在会话中保存TOKEN。如果这不是最佳方式,还有其他建议吗?
谢谢!