Spring安全中每个请求的不同csrf令牌
问题描述:
我在我的spring security xml文件中为web项目使用<csrf/>
标记。和发送CSRF令牌形式:Spring安全中每个请求的不同csrf令牌
<form action="" method="post">
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
</form>
但通过BurpSuite拦截了请求我在每一个请求得到相同的CSRF令牌直到会话持续。
有什么办法可以发送每个请求不同的csrf令牌比春季安全每个会话。
我正在使用3.2.4弹簧安全罐。
答
CSRF令牌的默认持续时间是会话持续时间。 CSRF令牌存储在HTTP会话中,因此按每个会话生成。检查Spring Security documentation on CSRF了解更多详情。
Spring Security可以扩展以满足个人需求,因此可以根据您的需要进行扩展。
但是,这个扩展影响的可用性:在第二个选项卡
- 开放的Web应用程序会导致会话中断在一个或两个选项卡。
- 提交表单上的“返回”按钮可能会导致一些奇怪的错误。
在我的应用程序登陆后的Web应用程序后,我有两个选项卡和第一个选项卡数据将默认显示。由于我使用
@Kiran,您可能需要创建一个新问题而不是评论。您应该包含一些工作代码作为示例,以便人们可以帮助您调试问题。 –