防止重复使用Tomcat防CSRF令牌

ycl3bljg  于 2022-12-13  发布在  其他
关注(0)|答案(1)|浏览(157)

我在我的网站上实现了反CSRF令牌:
web.xml

<filter>
        <filter-name>CsrfFilter</filter-name>
        <filter-class>org.apache.catalina.filters.CsrfPreventionFilter</filter-class>
        <init-param>
            <param-name>entryPoints</param-name>
            <param-value>/, /main.jsp</param-value>
        </init-param>
        <init-param>                    
            <param-name>nonceRequestParameterName</param-name>
            <param-value>CSRFToken</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>CsrfFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

然而,我仍然可以管理访问一些任意网站,例如:
对于有效的URL:www.example.com/foo?CSRFToken=ABC123
bar代替foo
看起来令牌可以重复使用5次。
我的问题是,如何设置这样的重复使用次数?是否最安全的方法是将其设置为1?

tomcat

1条答案

按热度按时间
2guxujil

2guxujil1#

我想出来了
答案是设置

<init-param>
            <param-name>nonceCacheSize</param-name>
            <param-value>2</param-value>
        </init-param>
赞(0)分享  回复(0)举报  2022-12-13
我来回答

相关问题

    查看更多

    热门标签

    更多
    JavaquerypythonNode开发语言requestUtil数据库Table后端算法LoggerMessageElementParser

    最新问答

    更多
    • 蜀ICP备2022004421号-2 NULL123 https://www.null123.com © All rights reserved
    • 本站内容来源互联网,如果侵犯您的权益请联系我们删除, 联系方式:448109455@qq.com