防止重复使用Tomcat防CSRF令牌

ycl3bljg  于 2022-12-13  发布在  其他
关注(0)|答案(1)|浏览(158)

我在我的网站上实现了反CSRF令牌:
web.xml

<filter>
        <filter-name>CsrfFilter</filter-name>
        <filter-class>org.apache.catalina.filters.CsrfPreventionFilter</filter-class>
        <init-param>
            <param-name>entryPoints</param-name>
            <param-value>/, /main.jsp</param-value>
        </init-param>
        <init-param>                    
            <param-name>nonceRequestParameterName</param-name>
            <param-value>CSRFToken</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>CsrfFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

然而,我仍然可以管理访问一些任意网站,例如:
对于有效的URL:www.example.com/foo?CSRFToken=ABC123
bar代替foo
看起来令牌可以重复使用5次。
我的问题是,如何设置这样的重复使用次数?是否最安全的方法是将其设置为1?

2guxujil

2guxujil1#

我想出来了
答案是设置

<init-param>
            <param-name>nonceCacheSize</param-name>
            <param-value>2</param-value>
        </init-param>

相关问题