基于复杂方案OWSAP CsrfGuard的CSRF安全解决方案(适配nginx + DWR)
1、什么是CSRF? 已经有很多博文讲解其过程和攻击手段,在此就不重复了。 O(∩_∩)O 不清楚的同学,请自行搜索或按链接去了解: http://blog.csdn.net/Flaght/article/details/3873590 2、CSRFGuard_Project 开源项目 CSRFGuard,介绍了如何使用在 HTTP 请求中加入 token 并验证的方法来抵御 CSRF。 https://www.owasp.org/index.php/Category:OWASP_CSRFGuard_Project 3、检测CSRF方法? OWASP上面有一个叫做CSRFTester的工具,可以构建进行测试。 下载链接: https://www.owasp.org/index.php/CSRFTester 教程指引: http://www.zyiqibook.com/article216.html 4、如何防御CSRF? 我们采用CSRFGuard_Project方案 JAVA DOM方式。 配置如下: 1)引入csrfguard-3.1.0.jar到你的工程: 2)配置web.xml: <!-- 基于复杂方案OWASP CsrfGuard的CSRF安全过滤 --> <servlet> <servlet-name>JavaScriptServlet</servlet-name>