WSO2 Identity Server 5.2.0 的文档描述了使用 CSRF 过滤器或 CSRF Valve 来缓解 CSRF 攻击 - 请参阅:WSO2 IS 5.2.0 文档。该配置在 IS 5.1.0 的 carbon.xml 中可用,但在 IS 5.2.0 中缺失。
相反,IS 5.2.0 使用 OWASP CSRF Guard,如WSO2 Carbon Documentation中所述。
我的问题是:我应该激活这两种保护机制还是 CSRF Guard 足够?
附加问题:CRLFPreventionConfig 在 5.2.0 中也消失了。是否仍然需要并且应该将其添加到 carbon.xml 文件中?
对于 WSO2 IS 5.2.0,(或者更准确地说,基于 WSO2 Carbon Kernel 4.4.6+ 的产品)正在使用基于 OWASP CSRFGuard 的统一 CSRF 预防机制。
因此,IS 5.2.0 文档不一定要提及 CSRF 防护,因为它默认启用了 CSRF 防护。请参阅问题跟踪器中的票证“ DOCUMENTATION-4043 ”,以便在最新的产品文档中更正此问题。
总之,OWASP CSRFGuard 对于 WSO2 Identity Server 5.2.0 已经足够了,您不再需要启用过滤器或阀门。
默认情况下,可以从 Tomcat 级别获得 CRLF 预防。因此,此配置已从产品配置中删除。尽管它已从 Carbon Kernel 文档中删除,但在某些产品文档中似乎仍然可以找到相关页面。请参阅问题跟踪器中的票证“ DOCUMENTATION-4044 ”,以便在最新的产品文档中更正此问题。