Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我正在使用tomcat(apache-tomcat-6.0.32)的CSRF方法进行安全扫描(以避免跨站点伪造),但是我遇到了firefox的以下问题: 1.Firefox不支持tomcat提供的CSRF适当Firefox 创建多个会话的方式。2. 每当页面出现任何异常(如 JSP 异常)时。Firefox 将其重定向到 CSRFPreventionFilter 并且此过滤器创建新会话。3. 有时在遍历应用程序时,CSRFPreventionFilter 过滤器也会创建新会话。
an 的创建HttpSession是设计使然:CSRFPreventionFilter使用一个HttpSession对象来存储用于保护您的 URL 的 nonce。
HttpSession
CSRFPreventionFilter
CSRFPreventionFilter只调用HttpServletRequest.getSession(true)并且从不使会话无效,因此它不应该创建任何额外的会话(或切换会话)。
HttpServletRequest.getSession(true)
请注意,最新版本的 Tomcat 将在跨越身份验证边界时更改会话 ID(即,当您输入用户名和密码时)。这是针对另一种攻击的缓解措施:会话固定。