csrf
关注
分享
扫一扫
文章平均质量分 72
InfoSecPractitioner
这个作者很懒,什么都没留下…
展开
-
spring security 集成csrf与会话更新
配置完spring security的csrf功能后,用APP SCAN扫描,发现登录页面没有进行会话更新(changeSessionId),如果使用servlet3.1+,可以直接在request中调用changeSessionId()方法。如果使用的是旧版本的servlet,则可以使用如下方法: /*spring security csrf token reinvoke*/ Ob原创 2015-11-27 11:12:02 · 2359 阅读 · 0 评论 -
spring security的csrf防御机制在ajax中的应用
spring security的csrf防御功能: 在jsp中使用如下代码: ... 上述代码中,等同于: 而,之所以使用spring的替代标签,是因为spring的标签可以自动将token以hidden类型添加到提交的数据当中 在js代码中,使用如下方式: var csrfParameter = $("meta[name='_csrf_para原创 2015-11-27 20:12:41 · 10211 阅读 · 2 评论