我正在尝试为我的 Web 应用程序实现 Tomcats CSRF 保护过滤器,其中用户存储在 MySQL DB 中,并且由于我的控制器被写入转发所有请求,我已将过滤器映射编辑为
<filter-mapping>
<filter-name>
CSRFPreventionFilter
</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
<dispatcher>FORWARD</dispatcher>
</filter-mapping>
但是,根据 OWASP 的建议,我也会在用户登录时使用户会话无效,然后创建一个新会话。
这会导致过滤器启动,我得到一个 403。
我环顾四周,但找不到让过滤器与此策略配合使用的方法。
那么我应该放弃过滤器还是使会话无效?