如何防止 Tomcat 中的 CSRF 漏洞?
我正在为我的应用程序使用 Tomcat 服务器,我需要保护我的应用程序免受 CSRF 攻击。有什么技术可以做到这一点吗?
如何防止 Tomcat 中的 CSRF 漏洞?
我正在为我的应用程序使用 Tomcat 服务器,我需要保护我的应用程序免受 CSRF 攻击。有什么技术可以做到这一点吗?
Tomcat 7 和 Tomcat 6.0.30 已内置 CSRF 保护(您需要激活它)。
http://www.tomcatexpert.com/blog/2011/05/09/cross-site-request-forgery
首先是Tomcat;证明我错了,但我认为容器本身目前不存在 CSRF 漏洞。
如果您担心任何其他 Tomcat 漏洞,我建议您订阅SecurityFocus上的一些邮件列表,尤其是 BugTraq,并经常查看Tomcat 5 安全页面。最重要的部分是:保持 Tomcat 的补丁和最新状态。
关于应用程序,在不知道或查看代码的情况下,很难告诉您如何保护您的应用程序,但在 OWASP Wiki中,有一些通用方法可以理解、避免和测试 CSRF 漏洞。
另一种选择是早期采用具有“CSRF 预防过滤器”的Tomcat 7。还有一些人想将其反向移植到 Tomcat 5/6。