0

我是 Spring Security 的新手;在教程的帮助下,我可以设置内存身份验证和 CSRF 令牌。这很好用;用户通过身份验证并生成令牌。

问题:当我使用 fiddler 拦截我自己的表单发布、修改 POST 参数并执行 HTTP POST 请求时,它成功提交了带有 200 OK 代码的请求。在这种情况下,我期待 403。

我认为实现此目的的一种解决方案是为每个请求而不是每个会话生成令牌。但是这种方法有它自己的问题。

您能否建议更好的方法来防止这种情况?另外,上述场景是否演示了会话固定攻击?

此致,

4

1 回答 1

0

CSRF 令牌不能保护您免受中间人攻击。CSRF 令牌通常只是一个随机字符串,一个共享秘密。它不是加密签名。

防止中间人的一种简单方法是使用 HTTPS 协议。

于 2014-09-12T13:13:52.767 回答