我正在使用部署在 Apache tomcat 上的 GWT 应用程序。我已经实现了 OWASP CSRFGaurd 3.1.0。我面临的问题是 CSRFGaurd 能够生成标头中所示的令牌。但是,当我使用下一个选项卡附加的错误 HTML 时,我可以执行删除操作(CSRF 攻击场景)。
:authority: abc.abc.int.abc.systems
:method: POST
:path: /xyz/abc/dellabel.json
:scheme: https
accept: */*
accept-encoding: gzip, deflate, br
accept-language: en-US,en;q=0.9
cache-control: no-cache
content-length: 274
content-type: application/x-www-form-urlencoded
cookie: JSESSIONID=437FA7A0B2FB71F3DF8E9A16D80E5843; _ga=GA1.2.836113442.1595894303; GLog=%7B%0D%20%20%20%20trackRPC%3Afalse%0D%7D; _gid=GA1.2.88347037.1610928674; AWSALB=2ozhFW/4Q5Gbqbj0bJkqOmW54ddzurTXPvsrwNY76FO9qC3oVbogOZeCxqU/fgj55RSY7/vn7MEZAvNy1X8BVORa0SLPCz4XiuZp0nw8+YPxC30+usgJkn4IKDeM; AWSALBCORS=2ozhFW/4Q5Gbqbj0bJkqOmW54ddzurTXPvsrwNY76FO9qC3oVbogOZeCxqU/fgj55RSY7/vn7MEZAvNy1X8BVORa0SLPCz4XiuZp0nw8+YPxC30+usgJkn4IKDeM
origin: https://abc.abc.int.abc.systems
owasp-csrftoken: KJ7C-4FWJ-VIRI-RCQF-DIW9-HB33-JTVR-TR6C
pragma: no-cache
referer: https://abc.abc.int.abc.systems/abc/abcUI.jsp
sec-ch-ua: "Google Chrome";v="87", " Not;A Brand";v="99", "Chromium";v="87"
sec-ch-ua-mobile: ?0
sec-fetch-dest: empty
sec-fetch-mode: cors
sec-fetch-site: same-origin
user-agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.141 Safari/537.36
x-requested-with: XMLHttpRequest
如果我从错误的 html 检查请求标头,它没有 OWASP 令牌,但仍会执行操作。
更新: 我使用了 3.1.0-SNAPSHOT 版本(因为它有令牌验证码)并且工作正常。