1

我们实现了 OWASP 的 CSRFGuard 来保护我们在 Web 应用程序中的页面。例如 */myCsrfProtected.jsp。我们在应用程序中所有出现的 */myCsrfProtected.jsp 处都注入了 CSRF 令牌。一切正常。

但是,我们还有其他用例,其中指向此受保护页面的链接通过电子邮件发送给用户。想想报告的链接。现在,当用户单击此链接时,令牌丢失或无效,因此 CSRFGuard 过滤器会阻止请求,假设这是 CSRF 攻击。(这是为:-) 实施的过滤器)

有没有办法处理这个用例并允许从应用程序外部访问受 CSRF 保护的页面。

4

1 回答 1

1

理想情况下,CSRF 令牌检查只需要对 POST 请求执行。GET 请求应该是幂等的((对服务器没有副作用,只返回一些数据,没有代表用户执行的事务)。

如果您只想在用户单击链接时返回报告,您可能不需要执行 csrf 检查。您可能仍希望确保用户已获得授权。您应该能够通过此请求的 CSRF 检查

于 2012-11-29T07:38:12.527 回答