Yay güvenliği için istekte farklı csrf belirteci

Bir web projesi için spring security xml dosyasında <csrf/> etiketini kullanıyorum.Yay güvenliği için istekte farklı csrf belirteci

<form action="" method="post"> 
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/> 
</form>

Ama oturumu devam dek BurpSuite aracılığıyla talep yakalama i her istekte aynı csrf belirteci alıyorum: Ve bir formda csrf belirteci gönderme.

Yay güvenliği için oturum başına her istekte farklı csrf belirteci gönderebileceğim herhangi bir yol var mı?

3.2.4 yaylı güvenlik kavanozları kullanıyorum.

kaynak

2016-03-07 Shailesh Yadav

CSRF jetonlarının varsayılan süresi, oturum süresidir. CSRF belirteci HTTP oturumunda saklanır ve bu nedenle oturum başına temelinde oluşturulur. Daha fazla ayrıntı için Spring Security documentation on CSRF'u kontrol edin.

Yay Güvenliği, kişisel gereksinimlere uyacak şekilde genişletilebilir, böylece amacınız için genişletilebilir.

Ancak bu uzatma etkiler kullanılabilirlik: Bir veya iki sekmelerde oturumu krizin neden olan ikinci sekmede

Açılış web uygulaması.
Gönderilen formlardaki 'geri' düğmesi bazı garip hatalara neden olabilir. web uygulaması üzerinde geldikten sonra benim uygulamada

kaynak

2016-03-07 13:25:57 user987339

i iki sekme vardır ve ilk sekme verileri varsayılan olarak gösterilir. kullanıyorum bu sayfada csrf belirteci görebiliyordu. Verileri almak için bir GET çağrısı olan ve tekrar GET çağrısı olan tab1'e geri dönüp tab2'ye gidersem. İlk sekmede, posta gönderimini arka arkaya yapmak için herhangi bir tuşa tıklayın. Buradaki çağrı başarısız oluyor ve "Beklenen CSRF jetonu bulunamadı. Mesajınızın süresi doldu" mesajıyla 403 yasak hatası alınıyor. Burada herhangi bir yardım – Kiran

@ Kiran, muhtemelen bir yorumdan ziyade yeni bir soru oluşturmanız gerekir. Büyük olasılıkla bazı çalışma kodlarını örnek olarak eklemelisiniz, böylece insanlar sorunu çözmenize yardımcı olabilir. –

Yay güvenliği için istekte farklı csrf belirteci

cevap

İlgili konular