3

如何防止 Tomcat 中的 CSRF 漏洞?

我正在为我的应用程序使用 Tomcat 服务器,我需要保护我的应用程序免受 CSRF 攻击。有什么技术可以做到这一点吗?

4

2 回答 2

2

Tomcat 7 和 Tomcat 6.0.30 已内置 CSRF 保护(您需要激活它)。

http://www.tomcatexpert.com/blog/2011/05/09/cross-site-request-forgery

于 2011-07-14T12:47:33.063 回答
0

首先是Tomcat;证明我错了,但我认为容器本身目前不存在 CSRF 漏洞。

如果您担心任何其他 Tomcat 漏洞,我建议您订阅SecurityFocus上的一些邮件列表,尤其是 BugTraq,并经常查看Tomcat 5 安全页面。最重要的部分是:保持 Tomcat 的补丁和最新状态。


关于应用程序,在不知道或查看代码的情况下,很难告诉您如何保护您的应用程序,但在 OWASP Wiki中,有一些通用方法可以理解、避免和测试 CSRF 漏洞。

另一种选择是早期采用具有“CSRF 预防过滤器”的Tomcat 7。还有一些人想将其反向移植到 Tomcat 5/6

于 2010-12-06T11:26:01.820 回答