«csrf-protection» etiketlenmiş sorular

2
Durumsuz (= Oturumsuz) Kimlik Doğrulaması kullanılırken CSRF Belirteci gerekli mi?
Uygulama durum bilgisi içermeyen kimlik doğrulamaya dayandığında (HMAC gibi bir şey kullanarak) CSRF Koruması kullanmak gerekli midir? Misal: Biz tek bir sayfa uygulaması var (aksi takdirde biz her linke belirteci eklemek zorunda: <a href="...?token=xyz">...</a>. Kullanıcı kullanarak kimliğini doğrular POST /auth. Başarılı bir kimlik doğrulamasında sunucu bazı belirteçler döndürür. Jeton, tek …
11
"_Csrf" istek parametresinde veya "X-CSRF-TOKEN" başlığında geçersiz CSRF Simgesi "boş" bulundu
Spring Security 3.2'yi yapılandırdıktan sonra, _csrf.tokenbir isteğe veya oturum nesnesine bağlı değildir. Bu, bahar güvenlik yapılandırmasıdır: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/> <form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=1" default-target-url="/index.jsp"/> <logout/> <csrf /> </http> <authentication-manager> <authentication-provider> <user-service> <user name="test" password="test" authorities="ROLE_USER/> </user-service> </authentication-provider> </authentication-manager> Login.jsp dosyası <form name="f" action="${contextPath}/j_spring_security_check" method="post" > <input type="hidden" …
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.