Perguntas com a marcação «csrf-protection»

125

Token CSRF necessário ao usar a autenticação sem estado (= sem sessão)?

É necessário usar a proteção CSRF quando o aplicativo depende da autenticação sem estado (usando algo como HMAC)? Exemplo: Temos um único aplicativo página (caso contrário, temos de acrescentar o token em cada link: <a href="...?token=xyz">...</a>. O usuário se autentica usando POST...

Token CSRF inválido 'null' encontrado no parâmetro de solicitação '_csrf' ou cabeçalho 'X-CSRF-TOKEN'

Depois de configurar o Spring Security 3.2, _csrf.tokennão está vinculado a uma solicitação ou a um objeto de sessão. Esta é a configuração de segurança da primavera: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/>...

spring spring-security csrf csrf-protection