Question

Я протестировал приложение JSF с помощью инструмента CSRFtester, и этот инструмент не сообщил о каких-либо проблемах CSRF.Но я прочитал в "OWASP_Top_10_2007_for_JEE.pdf", что все платформы веб-приложений Java EE уязвимы для CSRF, а также некоторые говорят, что нам нужно создать секретный ключ для каждого сеанса и добавить его в URL.Таким образом мы можем защитить наше приложение JSF от CSRF-атаки. Это меня смущает.Я не могу найти четкую документацию.Является ли JSF уязвимым для атаки CSRF?Как правильно защитить приложение JSF от CSRF-атак?Пожалуйста, помогите мне !!

Спасибо заранее !!

InS · Answer 1 · 03 июля 2011

Да, JSF уязвима для CSRF.Я внедрил токен предотвращения CSRF для своего приложения JSF 1.2 всего несколько дней назад.

Вот что вы можете использовать:

Фильтр предотвращения Tomcat CSRF (найти источник)

Еще одно замечательное решение, которое может быть легко реализовано на JSF 1.2

Я использовал комбинацию из двух.Хорошо работает.

Есть ли в JSF1.2 встроенная защита CSRF?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Есть ли в JSF1.2 встроенная защита CSRF?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы