Domande taggate «csrf-protection»

2
Token CSRF necessario quando si utilizza l'autenticazione senza stato (= senza sessione)?
È necessario utilizzare CSRF Protection quando l'applicazione si basa su un'autenticazione senza stato (utilizzando qualcosa come HMAC)? Esempio: Abbiamo una pagina singola applicazione (altrimenti dobbiamo aggiungere il segnalino su ogni link: <a href="...?token=xyz">...</a>. L'utente si autentica utilizzando POST /auth. In caso di autenticazione riuscita, il server restituirà un token. Il …
11
Token CSRF "null" non valido trovato nel parametro di richiesta "_csrf" o nell'intestazione "X-CSRF-TOKEN"
Dopo aver configurato Spring Security 3.2, _csrf.tokennon è vincolato a una richiesta oa un oggetto sessione. Questa è la configurazione della sicurezza primaverile: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/> <form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=1" default-target-url="/index.jsp"/> <logout/> <csrf /> </http> <authentication-manager> <authentication-provider> <user-service> <user name="test" password="test" authorities="ROLE_USER/> </user-service> </authentication-provider> </authentication-manager> Il file …
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.