«csrf-protection» 태그된 질문

2
Stateless (= Sessionless) 인증을 사용할 때 CSRF 토큰이 필요합니까?
애플리케이션이 상태 비 저장 인증 (HMAC과 같은 것을 사용)에 의존 할 때 CSRF 보호를 사용해야합니까? 예: 단일 페이지 앱이 있습니다 (그렇지 않으면 각 링크에 토큰을 추가해야합니다 : <a href="...?token=xyz">...</a>. 사용자는 POST /auth. 인증이 성공하면 서버는 일부 토큰을 반환합니다. 토큰은 단일 페이지 앱 내의 일부 변수에 JavaScript를 통해 저장됩니다. 이 토큰은와 …

11
요청 매개 변수 '_csrf'또는 헤더 'X-CSRF-TOKEN'에서 유효하지 않은 CSRF 토큰 'null'이 발견되었습니다.
Spring Security 3.2를 구성한 후 _csrf.token요청 또는 세션 개체에 바인딩되지 않습니다. 이것은 스프링 보안 구성입니다. <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/> <form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=1" default-target-url="/index.jsp"/> <logout/> <csrf /> </http> <authentication-manager> <authentication-provider> <user-service> <user name="test" password="test" authorities="ROLE_USER/> </user-service> </authentication-provider> </authentication-manager> login.jsp 파일 <form name="f" action="${contextPath}/j_spring_security_check" method="post" > <input type="hidden" name="${_csrf.parameterName}" …
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.