CSRF Guard: inietta token nella richiesta POST?

0

Ho implementato CSRF Guard nella mia applicazione web. Funziona bene per le richieste GET (con AJAX e senza AJAX), tuttavia per il token di richiesta POST non viene iniettato nella richiesta, ecco perché la guardia CSRF lancia un'eccezione: Token is missing in the request.

La mia domanda qui è:

  1. CSRF Guard inietta token nella richiesta POST o no? Se sì, allora quello che devo cercare per farlo funzionare.
  2. Devo modificare le mie richieste POST per farlo funzionare con la protezione CSRF? (Salva il token nei campi nascosti e usalo per le richieste POST.)

Per favore fatemi sapere i vostri punti se ne siete a conoscenza. Grazie.

    
posta Simpal Kumar 20.12.2014 - 13:38
fonte

1 risposta

1

Generalmente, crei un campo nascosto nei moduli per il token CSRF quando esegui il POST.

Da la documentazione , dovrebbe essere simile a questa:

<input type="hidden" name="<csrf:token-name/>" value="<csrf:token-value/>"/>

Inoltre, per poter lavorare per le richieste post, la proprietà inject-into-forms deve essere vera, come si vede nell'esempio:

<init-param>
    <param-name>inject-into-forms</param-name>
    <param-value>true</param-value>
</init-param>

In effetti, disabilitare questo parametro è particolarmente scoraggiante, a causa della sensibilità di molte richieste POST.

    
risposta data 20.12.2014 - 14:12
fonte

Leggi altre domande sui tag