Tomcat 中的 CSRF 保护

发布于 2024-10-05 10:20:52 字数 95 浏览 7 评论 0原文

如何防止 Tomcat 中的 CSRF 漏洞?

我的应用程序使用 Tomcat 服务器,我需要保护我的应用程序免受 CSRF 攻击。有什么技术可以做到这一点吗?

How can I prevent CSRF vulnerabilities in Tomcat?

I am using the Tomcat server for my application, and I need to protect my application from CSRF attacks. Is there any technique to do this?

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(2

好倦 2024-10-12 10:20:53

Tomcat 7 和 Tomcat 6.0.30 内置了 CSRF 保护(您需要激活它)。

http://www.tomcatexpert.com/blog/2011 /05/09/跨站请求伪造

Tomcat 7 and Tomcat 6.0.30 have build in CSRF protection (you need to activate it).

http://www.tomcatexpert.com/blog/2011/05/09/cross-site-request-forgery

¢好甜 2024-10-12 10:20:53

首先是雄猫;证明我错了,但我认为容器本身目前不存在 CSRF 漏洞。

如果您担心任何其他 Tomcat 漏洞,我建议您订阅 SecurityFocus 上的一些邮件列表,位于特别是 BugTraq,并经常检查 Tomcat 5 安全页面
最重要的部分是:让您的 Tomcat 保持补丁状态并保持最新状态。

关于应用程序,在不知道或不看到代码的情况下,很难告诉您如何保护应用程序的安全,但是 在 OWASP Wiki 中,有一些了解、避免和测试 CSRF 漏洞的通用方法。

另一种选择是尽早采用 Tomcat 7,它具有 'CSRF 预防过滤器'。还有一些人想要 将其反向移植到 Tomcat 5/6

First the Tomcat; Prove me wrong, but I think CSRF vulnerabilities do currently not exist for the container itself.

If you worry about any other Tomcat vulnerabilities, I would suggest to subscribe to some of the mailing lists at SecurityFocus, in particular the BugTraq, and frequently check the Tomcat 5 Security page.
And the most important part: Keep your Tomcat patched and up to date.

Regarding the application, it's kind of hard to tell you how to secure your application, without knowing it or seeing code, but here in the OWASP Wiki, there are some genereal approaches to understand, avoid and test against CSRF vulnerabilities.

Another option would be to early-adopt Tomcat 7, which features a 'CSRF Prevention Filter'. There is also some guy, who wants to backport this to Tomcat 5/6.

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文