标签: java spring web-applications csrf owasp
我已经在我的Web应用程序中实现了OWASP CSRF Guard。 Clien不想在浏览器URL上附加CSRF令牌。如何避免在URL中添加CSRF令牌。
http://localhost:8080/abc/customer/userHome.do?OWASP-CSRFTOKEN=GRV3-6UN1-OACJ-1NFX-H1HP-OAIH-YSQZ-QXGA
我希望userhome.do得到保护,但不希望URL中的OWASP-CSRFTOKEN = GRV3-6UN1-OACJ-1NFX-H1HP-OAIH-YSQZ-QXGA。
答案 0 :(得分:1)
您可以将csrf令牌保存在会话中,并且网址将不再保留csrf令牌