Perguntas com a marcação «csrf-protection»

2
Token CSRF necessário ao usar a autenticação sem estado (= sem sessão)?
É necessário usar a proteção CSRF quando o aplicativo depende da autenticação sem estado (usando algo como HMAC)? Exemplo: Temos um único aplicativo página (caso contrário, temos de acrescentar o token em cada link: <a href="...?token=xyz">...</a>. O usuário se autentica usando POST /auth. Na autenticação bem-sucedida, o servidor retornará algum …
11
Token CSRF inválido 'null' encontrado no parâmetro de solicitação '_csrf' ou cabeçalho 'X-CSRF-TOKEN'
Depois de configurar o Spring Security 3.2, _csrf.tokennão está vinculado a uma solicitação ou a um objeto de sessão. Esta é a configuração de segurança da primavera: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/> <form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=1" default-target-url="/index.jsp"/> <logout/> <csrf /> </http> <authentication-manager> <authentication-provider> <user-service> <user name="test" password="test" authorities="ROLE_USER/> </user-service> …
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.