无csrf防护的html页面,springs csrf保护仅* html登录页面 -ag凯发k8国际
ag凯发k8国际
收集整理的这篇文章主要介绍了
无csrf防护的html页面,springs csrf保护仅* html登录页面
小编觉得挺不错的,现在分享给大家,帮大家做个参考.
我正在尝试利用spring security内置的csrf保护。这些是我正在使用的spring版本:
spring framework版本-4.2.1
spring安全-4.0.2
spring安全性文档提到,还必须保护登录页面不受csrf攻击。我看到启用csrf保护(并且没有传递令牌)时,登录不起作用-符合预期。
我的登录页面是纯html页面(不是jsp),并且我无法使用任何spring或jstl标记。我正在考虑实施一种类似于此处所述的ag凯发k8国际的解决方案-
如以上链接所述(作者的博客在评论中链接到接受的答案),该ag凯发k8国际的解决方案是在登录页面上进行ajax调用,该调用将获取csrf令牌的值,然后将其包含在登录请求中
但是,spring文档还提到,一旦访问csrftoken,就会创建一个新的httpsession。我有几个问题-
我的ajax调用无法获得csrf令牌,因为我必须在登录之前调用它。
考虑到ajax调用不安全,一旦访问csrf令牌就立即生成新的httpsession的事实也引起了人们的关注。
该应用程序的其余部分仅进行ajax或rest调用,我计划实现客户端拦截器,以便在用户登录后将csrf令牌包含在标头中(据我了解,用户会话有一个csrftoken)
有没有人对使用spring的csrf保护纯html登录页面有想法?
与50位技术专家面对面20年技术见证,附赠技术全景图总结
以上是ag凯发k8国际为你收集整理的无csrf防护的html页面,springs csrf保护仅* html登录页面的全部内容,希望文章能够帮你解决所遇到的问题。
- 上一篇: html5 网页桌面图标,打开控制面板是
- 下一篇: html中的expand属性,expan