Web uygulamasındaki CSRF koruması

Question

Apache modülleri tarafından sağlanan CSRF koruması olan bir uygulama sahibim. Benim uygulama bazı dosya yüklemesine izin birkaç sayfa containt, şuna benzer:

<form:form method="post" action="my.controller" enctype="multipart/form-data" id="form"> 

tüm şeyler httpd-2.2.15 için httpd-2.2.3 dan bizim apache versiyonunu güncelledik zaman iyi çalıştı.

Bir süredir çalışıyorum ve sorunum formumda multipart/form-data parametresi ile ilgili olabileceğini tespit ettik. Bu durumda form güvenli değil olarak gönder. Ayrıca ben bahar bahar doc http://docs.spring.io/spring-security/site/docs/3.2.0.CI-SNAPSHOT/reference/html/csrf.html#csrf-multipartfilter

Ben CSRF şeyler yeniyim dan MultipartFilter yoluyla yukarıdaki gibi şeyler işleyebilir saptadık. Bu durumun üstesinden gelmek için yaylı CSRF koruması ile apache yapılandırmasını bilmek iyi olacaktır. Ben

RewriteRule /url/mycontroller.controller gibi, gerekli URL'ler için CSRF devre dışı bırakabilir

Ayrıca buldum geçici çözüm - [E = CSRF_IGNORE: evet]

Ama ben Nerede doğru biri olacağından emin değilim.

Answer 1

takiben Ben öneri: Çok parçalı/form-data CSRF Guard dahil CSRF kütüphanelerinin bazı desteklenmez beri gerekli değilse

enctype kaldırın.

CSRF belirtecini gizli özniteliği kullanarak ayarlıyorsanız, lütfen eylem özniteliğindeki simgeyi eklemeye çalışın. İşte bu bağlantıyı tıklatırız: https://code.google.com/p/csrf-filter/

Yine de aynı sorunla karşı karşıya kalırsanız, URL'yi CSRF denetiminden çıkarmanız gerekebilir.