我正在为csrf预防实现令牌,我在会话属性中添加了一个csrf令牌的值,如下所示:
session.setAttribute("csrfToken", csrfToken);
我的登录页面获取该属性并将该csrf标记提交给servlet,我的login.jsp如下所示:
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c" %>
<%@ taglib uri="http://jakarta.apache.org/struts/tags/struts-html" prefix="html" %>
<%@ taglib uri="http://devel.payo.org/tlibs/payo-core" prefix="payo" %>
<%@ page session="true" %>
<html:html>
***<input id="token" type="hidden" value="${sessionScope.csrfToken}" />***
<c:choose><c:when test="${not empty loggedUser}">
<head>
<meta http-equiv="refresh" content="0;URL=${pathPrefix}/home">
</head>
</c:when><c:otherwise>
<jsp:include page="/pages/general/layout/head.jsp" />
<payo:customizedFilePath type="style" name="login.css" var="loginUrl" groupId="${empty loggedUserId ? cookie.groupId.value : ''}" groupFilterId="${empty loggedUserId ? cookie.groupFilterId.value : ''}" />
<link rel="stylesheet" href="<c:url value="${loginUrl}" />">
<jsp:include flush="true" page="/pages/access/includes/loginDefinitions.jsp" />
<payo:includeCustomizedFile type="static" name="login.jsp" groupId="${empty loggedUserId ? cookie.groupId.value : ''}" groupFilterId="${empty loggedUserId ? cookie.groupFilterId.value : ''}" />
<script>
if (!is.ie6) {
var td = $('loginRegistration');
var div = $('loginRegistrationDiv');
if (td && div) {
div.style.height = (td.getHeight() - 10) + "px";
}
}
ensureLoginForm();
</script>
</c:otherwise></c:choose>
</html:html>
当我尝试获取包含来自会话的令牌的隐藏输入的值时,我面临的问题,我只是空...我将非常感谢如果有人可以提供帮助。这就是我如何检索值。
String token = request.getParameter("token");
答案 0 :(得分:0)
获取令牌&#39;来自请求的参数您必须将输入元素名称作为&#39;标记&#39;
<input name='token' .../>
request.getParamerer(string name) 方法根据名称属性获取参数
答案 1 :(得分:-1)
如果您使用&lt;%@ page session =“true”%&gt;创建新会话然后使用$ {sessionScope.csrfToken} .make session =“false”从你的令牌来到哪里然后尝试
答案 2 :(得分:-1)
我怀疑下面一行是在进入此页面时进行新会话,这导致它为空。
<%@ page session="true" %>
你可以把它<%@ page session="false" %>
然后交叉检查。我坚信,它应该有用。