Ho implementato la libreria OWASP CSRFGuard per proteggere la mia applicazione dagli attacchi CSRF. Sto utilizzando il file JavaScript CSRFGuard e il servlet per iniettare i token CSRF in tutte le richieste Ajax. Finora vedo che il token è stato aggiunto correttamente a tutte le richieste.
La mia domanda è come verificare che questo token sia valido e riconosciuto dalla libreria sul lato server? Posso ottenere il token sul lato server ma non ho nulla con cui confrontarlo. La mia preoccupazione è che un utente malintenzionato possa iniettare qualsiasi valore e l'app non saprebbe se ciò è valido o meno.
Ho cancellato e modificato questo token dalle richieste e ho notato che il filtro non le sta rifiutando, quindi presumo che la validazione di questo token sia qualcosa che devo implementare nel mio servlet, giusto? Ma come? Ho esaminato le classi CSRFGuard ma non ho trovato nessuna che memorizza il token generato dal servlet JavaScript.