欢迎访问 生活随笔!

ag凯发k8国际

当前位置: ag凯发k8国际 > 前端技术 > html >内容正文

html

无csrf防护的html页面,springs csrf保护仅* html登录页面 -ag凯发k8国际

发布时间:2024/10/14 html 29 豆豆
ag凯发k8国际 收集整理的这篇文章主要介绍了 无csrf防护的html页面,springs csrf保护仅* html登录页面 小编觉得挺不错的,现在分享给大家,帮大家做个参考.

我正在尝试利用spring security内置的csrf保护。这些是我正在使用的spring版本:

spring framework版本-4.2.1

spring安全-4.0.2

spring安全性文档提到,还必须保护登录页面不受csrf攻击。我看到启用csrf保护(并且没有传递令牌)时,登录不起作用-符合预期。

我的登录页面是纯html页面(不是jsp),并且我无法使用任何spring或jstl标记。我正在考虑实施一种类似于此处所述的ag凯发k8国际的解决方案-

如以上链接所述(作者的博客在评论中链接到接受的答案),该ag凯发k8国际的解决方案是在登录页面上进行ajax调用,该调用将获取csrf令牌的值,然后将其包含在登录请求中

但是,spring文档还提到,一旦访问csrftoken,就会创建一个新的httpsession。我有几个问题-

我的ajax调用无法获得csrf令牌,因为我必须在登录之前调用它。

考虑到ajax调用不安全,一旦访问csrf令牌就立即生成新的httpsession的事实也引起了人们的关注。

该应用程序的其余部分仅进行ajax或rest调用,我计划实现客户端拦截器,以便在用户登录后将csrf令牌包含在标头中(据我了解,用户会话有一个csrftoken)

有没有人对使用spring的csrf保护纯html登录页面有想法?

与50位技术专家面对面20年技术见证,附赠技术全景图

总结

以上是ag凯发k8国际为你收集整理的无csrf防护的html页面,springs csrf保护仅* html登录页面的全部内容,希望文章能够帮你解决所遇到的问题。

如果觉得ag凯发k8国际网站内容还不错,欢迎将ag凯发k8国际推荐给好友。

网站地图