Problemi di navigazione del pulsante Indietro a causa del token CSRF?

2

Ho un'applicazione web legacy e ho bisogno di proteggerla da CSRF. Ho provato a risolvere il problema senza compromettere la funzionalità dell'applicazione, ma ho riscontrato problemi relativi alla navigazione.

È possibile generare token e archiviarli nel modulo e nella sessione per prevenire i problemi relativi al pulsante Indietro del browser?

Diciamo che ho inviato il primo modulo in '' test1.jsp 'e il secondo in test2.jsp. A questo punto, se provo a tornare indietro utilizzando il pulsante indietro del browser e a spostarmi su test1.jsp e inviare il modulo, verrà generato un errore come valore del token dalla pagina cache e in sessione sarà diverso. Ho cercato di impedire l'archiviazione della cache utilizzando le intestazioni di risposta e caricare i dati dal server sul pulsante back, ma l'applicazione si interrompe a questo punto. La mia applicazione utilizza il framework struts e ho provato ad usare il metodo token strut ma questo non ha aiutato a superare il pulsante indietro problemi.

C'è un modo per superare questo problema del pulsante di ritorno del browser usando i token?

    
posta Girish 26.03.2016 - 18:13
fonte

1 risposta

3

Non è necessario creare un nuovo token con ogni richiesta. Al contrario, come per il foglio di trucco OWASP CSRF , crea un token per ogni sessione. Poiché la stessa sessione viene utilizzata sia per test1.jsp che per test.jsp , il pulsante Indietro non sarà più un problema.

    
risposta data 26.03.2016 - 18:22
fonte

Leggi altre domande sui tag