Java EE, Struts 1.3에서 CSRF 가드 사용 안 함

Question

tomcat에서 CSRF 가드를 비활성화하고 싶습니다. 뒤를 허용하는 방법을 알지 못합니다. 페이지 새로 고침 버튼이 작동합니다. 당분간, 나는 csrf와 관련된 모든 것을 비활성화시키고 싶다. 이 목적을 위해 하나의 파일 Owasp.CsrfGuard.Properties 파일이 있습니다. 다음 속성이 있습니다.

org.owasp.csrfguard.TokenName=OWASP_CSRFTOKEN 
org.owasp.csrfguard.TokenLength=32 
org.owasp.csrfguard.PRNG=SHA1PRNG 
org.owasp.csrfguard.Logger=org.owasp.csrfguard.log.ConsoleLogger 
org.owasp.csrfguard.NewTokenLandingPage=PYEntry.jsp 

org.owasp.csrfguard.action.Log=org.owasp.csrfguard.action.Log 
org.owasp.csrfguard.action.Log.Message=potential cross-site request forgery (CSRF) attack thwarted (user:%user%, ip:%remote_ip%, uri:%request_uri%, error:%exception_message%) 

org.owasp.csrfguard.unprotected.QualificationPage=/pondicheryJan30/qualification.do 
org.owasp.csrfguard.unprotected.PersonalPage=/pondicheryJan30/personal.do 
org.owasp.csrfguard.unprotected.DownloadResume=/pondicheryJan30/DownloadResumeAction.do 
org.owasp.csrfguard.unprotected.allotUpdatePage=/pondicheryJan30/allotUpdate.do 
org.owasp.csrfguard.unprotected.PersonalEditPage=/pondicheryJan30/personalEdit.do 


org.owasp.csrfguard.action.Redirect=org.owasp.csrfguard.action.Redirect 
org.owasp.csrfguard.action.Redirect.Page=globalerror.jsp 

Answer 1

이것은 Cross Site Request Phgery를 방지하기 위해 특별히 사용되는 CSRF Guard입니다.

Csrf Guard를 비활성화하려는 경우. web.xml 파일을 이동하고 web.xml에서 csrf 및 XSS 필터를 제거하거나 주석으로 처리하십시오.

Answer 2

나는 이것이 오래된 것으로 알고 있지만 해결책을 찾는 사람은 다음을 시도하십시오.

는 다음과 같은 특성 또한

org.owasp.csrfguard.Enabled=false 

페이지 토큰에 따라 수행하고 요청에 따라 토큰을 회전하지 않도록 명시 적으로 이러한 속성을 설정하는 시도를 추가합니다. 이러한 항목은 기본적으로 사용하지 않도록 설정해야합니다. 그러나 나는 그러한 가능성이 완화되도록 제안하고있다.

org.owasp.csrfguard.TokenPerPage=false 
org.owasp.csrfguard.TokenPerPagePrecreate=false 
org.owasp.csrfguard.Rotate=false 

토큰을 회전하면 일반적으로 저장된 링크 토큰이 만료되어 이전 및 이후 탐색 문제가 발생합니다.