Java dy处理了跨站点脚本，并认为如果我可以将所有页面更改为POST而不是GET，它将完全覆盖CSRF，并且不允许任何人猜测生成的令牌。我看到了一个解决方案，它为每个页面生成令牌，如HDiv，但我不知道它是否与spring security集成？如果攻击者在受害_Java_Spring_Security_Spring Security_Csrf

Java dy处理了跨站点脚本，并认为如果我可以将所有页面更改为POST而不是GET，它将完全覆盖CSRF，并且不允许任何人猜测生成的令牌。我看到了一个解决方案，它为每个页面生成令牌，如HDiv，但我不知道它是否与spring security集成？如果攻击者在受害

java spring security spring-security

Java dy处理了跨站点脚本，并认为如果我可以将所有页面更改为POST而不是GET，它将完全覆盖CSRF，并且不允许任何人猜测生成的令牌。我看到了一个解决方案，它为每个页面生成令牌，如HDiv，但我不知道它是否与spring security集成？如果攻击者在受害,java,spring,security,spring-security,csrf,Java,Spring,Security,Spring Security,Csrf,dy处理了跨站点脚本，并认为如果我可以将所有页面更改为POST而不是GET，它将完全覆盖CSRF，并且不允许任何人猜测生成的令牌。我看到了一个解决方案，它为每个页面生成令牌，如HDiv，但我不知道它是否与spring security集成？如果攻击者在受害者会话打开时放置脚本读取GET页面（例如显示读取某些GET页面的广告），他可以读取该页面的敏感数据，并可以窃取该页面内任何POST操作中的令牌，并使用它执行POST操作。@HanySakr，是的，但如果攻击者可以发布脚本，那么CSRF将是他脑海

dy处理了跨站点脚本，并认为如果我可以将所有页面更改为POST而不是GET，它将完全覆盖CSRF，并且不允许任何人猜测生成的令牌。我看到了一个解决方案，它为每个页面生成令牌，如HDiv，但我不知道它是否与spring security集成？如果攻击者在受害者会话打开时放置脚本读取GET页面（例如显示读取某些GET页面的广告），他可以读取该页面的敏感数据，并可以窃取该页面内任何POST操作中的令牌，并使用它执行POST操作。@HanySakr，是的，但如果攻击者可以发布脚本，那么CSRF将是他脑海中最后想到的事情之一。在这个场景中，他还可以做其他更严肃、更直接的事情，比如删除一个密码来窃取用户密码。可以这样想：CSRF以用户为单位工作，但跨站点脚本同时攻击多个用户。跨站点脚本比CSRF危险得多。感谢您的回复。实际上，我需要关闭任何攻击的大门，我已经处理了跨站点脚本，并认为如果我可以将所有页面更改为POST，而不是GET，它将完全覆盖CSRF，并且不允许任何人猜测生成的令牌。我看到了一个为每个页面生成令牌的解决方案，比如HDiv，但我不知道它是否与spring security集成？

X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Cache-Control: no-cache, no-store, max-age=0, must-revalidate
Pragma: no-cache
Expires: 0
X-Frame-Options: DENY