0

我正在使用tomcat(apache-tomcat-6.0.32)的CSRF方法进行安全扫描(以避免跨站点伪造),但是我遇到了firefox的以下问题:
1.Firefox不支持tomcat提供的CSRF适当Firefox 创建多个会话的方式。2. 每当页面出现任何异常(如 JSP 异常)时。Firefox 将其重定向到 CSRFPreventionFilter 并且此过滤器创建新会话。3. 有时在遍历应用程序时,CSRFPreventionFilter 过滤器也会创建新会话。

4

1 回答 1

0

an 的创建HttpSession是设计使然:CSRFPreventionFilter使用一个HttpSession对象来存储用于保护您的 URL 的 nonce。

CSRFPreventionFilter只调用HttpServletRequest.getSession(true)并且从不使会话无效,因此它不应该创建任何额外的会话(或切换会话)。

请注意,最新版本的 Tomcat 将在跨越身份验证边界时更改会话 ID(即,当您输入用户名和密码时)。这是针对另一种攻击的缓解措施:会话固定。

于 2012-07-27T14:04:41.480 回答