Spring security Spring Security 3.2 CSRF令牌-通过拦截post请求修改post参数时如何保护?
我是春天安全的新手;在教程的帮助下,我可以设置内存身份验证和CSRF令牌。这很好用;对用户进行身份验证并生成令牌 问题:当我使用fiddler截获我自己的表单post、修改post参数并执行HTTP post请求时,它成功地提交了带有200 OK代码的请求。在这种情况下,我预计会有403个 我认为实现这一点的一个解决方案是为每个请求而不是每个会话生成令牌。但这种方法也有自己的问题 你能建议更好的方法来防范这种情况吗? 上述场景是否也演示了会话固定攻击Spring security Spring Security 3.2 CSRF令牌-通过拦截post请求修改post参数时如何保护?,spring-security,csrf,session-fixation,Spring Security,Csrf,Session Fixation,我是春天安全的新手;在教程的帮助下,我可以设置内存身份验证和CSRF令牌。这很好用;对用户进行身份验证并生成令牌 问题:当我使用fiddler截获我自己的表单post、修改post参数并执行HTTP post请求时,它成功地提交了带有200 OK代码的请求。在这种情况下,我预计会有403个 我认为实现这一点的一个解决方案是为每个请求而不是每个会话生成令牌。但这种方法也有自己的问题 你能建议更好的方法来防范这种情况吗? 上述场景是否也演示了会话固定攻击 致以最诚挚的问候,CSRF令牌不会保护您免受
致以最诚挚的问候,CSRF令牌不会保护您免受中间人攻击。CSRF令牌通常只是一个随机字符串,一个共享秘密。它不是加密签名 保护中间人不受伤害的一个简单方法是使用HTTPS协议