我需要重构但不是一个webapp(没有标记库的jsp)来防止CSRF攻击。我不能使用像这里描述的算法,但我认为nonce id对我来说是最好的解决方案:https://tomcat.apache.org/tomcat-8.0-doc/config/filter.html#CSRF_Prevention_Filter_for_REST_APIs 应用这些参数,非常昂贵,因为我必须更改所有调用请求(为每个Post添加一个get并强制客户端进行第二次调用),所以我决定使用静态include import在我的所有jsp中添加一个输入隐藏文本框,以及用于匹配会话Nonce ID和请求nonce ID的java Filter。这是我的解决方案一个好的做法和休息算法的替代方案吗? 抱歉我的英文不好..
谢谢!
拉吉
答案 0 :(得分:0)
您的方法被称为蜜罐验证码,它提供了一些保护,但它并不接近安全。如果您使用这种方法,那么我,作为用户将能够编辑您的HTML并轻松破解您的网站。此外,我可以从请求中查看正在发送的内容并编写我自己的程序,该程序将向您发送请求。所以不,这本身并不是一个好的方法,但如果你使用它并伴随着真正的保护,这不是一件坏事。