tomcat（apache-tomcat-6.0.32）的CSRF方法在firefox 14.0.1上无法正常工作_Firefox_Tomcat_Csrf

tomcat（apache-tomcat-6.0.32）的CSRF方法在firefox 14.0.1上无法正常工作

firefox tomcat

tomcat（apache-tomcat-6.0.32）的CSRF方法在firefox 14.0.1上无法正常工作,firefox,tomcat,csrf,Firefox,Tomcat,Csrf,我正在使用tomcat（apache-tomcat-6.0.32）的CSRF方法进行安全扫描（以避免跨站点伪造），但firefox有以下问题： 1.Firefox不支持tomcat以适当方式提供的CSRF，Firefox无法创建多个会话。 2.每当页面上出现任何异常（如JSP异常）时。Firefox将其重定向到CSRFPreventionFilter，此筛选器将创建新会话。 3.有时，在遍历应用程序时，CSRFPreventionFilter筛选器也会创建新会话。创建HttpSession是经过

我正在使用tomcat（apache-tomcat-6.0.32）的CSRF方法进行安全扫描（以避免跨站点伪造），但firefox有以下问题：
1.Firefox不支持tomcat以适当方式提供的CSRF，Firefox无法创建多个会话。 2.每当页面上出现任何异常（如JSP异常）时。Firefox将其重定向到CSRFPreventionFilter，此筛选器将创建新会话。

3.有时，在遍历应用程序时，CSRFPreventionFilter筛选器也会创建新会话。

创建

HttpSession

是经过设计的：CSRFPreventionFilter使用

HttpSession

对象来存储用于保护URL的nonce

CSRFPreventionFilter

只调用

HttpServletRequest.getSession（true）

并且从不使会话无效，因此它不应该创建任何附加会话（或切换会话）

请注意，最新版本的Tomcat在跨越身份验证边界时（即输入用户名和密码时）会更改会话id。这是针对另一种攻击的缓解措施：会话固定