本文探讨如何在Spring Security 4.2.1的CSRF保护下,为纯HTML登录页面实现AJAX调用获取CSRF令牌,同时处理新HttpSession的安全顾虑。作者分享了可能的解决方案和面临的限制,并寻求关于客户端拦截器和会话管理的最佳实践建议。
我正在尝试利用Spring Security内置的CSRF保护。这些是我正在使用的spring版本:
Spring Framework版本-4.2.1
spring安全-4.0.2
Spring安全性文档提到,还必须保护登录页面不受CSRF攻击。我看到启用CSRF保护(并且没有传递令牌)时,登录不起作用-符合预期。
我的登录页面是纯HTML页面(不是JSP),并且我无法使用任何Spring或JSTL标记。我正在考虑实施一种类似于此处所述的解决方案-
如以上链接所述(作者的博客在评论中链接到接受的答案),该解决方案是在登录页面上进行AJAX调用,该调用将获取CSRF令牌的值,然后将其包含在登录请求中
但是,spring文档还提到,一旦访问csrfToken,就会创建一个新的HttpSession。我有几个问题-
我的ajax调用无法获得csrf令牌,因为我必须在登录之前调用它。
考虑到ajax调用不安全,一旦访问CSRF令牌就立即生成新的HttpSession的事实也引起了人们的关注。
该应用程序的其余部分仅进行AJAX或REST调用,我计划实现客户端拦截器,以便在用户登录后将CSRF令牌包含在标头中(据我了解,用户会话有一个CsrfToken)
有没有人对使用spring的CSRF保护纯HTML登录页面有想法?
扫一扫
576
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
