Вопросы с тегом «csrf-protection»

Нужно ли использовать защиту CSRF, если приложение использует аутентификацию без сохранения состояния (используя что-то вроде HMAC)? Пример: У нас есть одно приложение страницы ( в противном случае мы должны добавить маркер на каждой ссылке: <a href="...?token=xyz">...</a>. Пользователь аутентифицируется с помощью POST /auth. При успешной аутентификации сервер вернет некоторый токен. Токен …

125 authentication  csrf  single-page-application  stateless  csrf-protection 

После настройки Spring Security 3.2 _csrf.tokenне привязан к запросу или объекту сеанса. Это весенняя конфигурация безопасности: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/> <form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=1" default-target-url="/index.jsp"/> <logout/> <csrf /> </http> <authentication-manager> <authentication-provider> <user-service> <user name="test" password="test" authorities="ROLE_USER/> </user-service> </authentication-provider> </authentication-manager> Файл login.jsp <form name="f" action="${contextPath}/j_spring_security_check" method="post" > <input type="hidden" …

91 spring  spring-security  csrf  csrf-protection