0
CSRF 공격을 막기 위해 webapp (태그 라이브러리가없는 JSP)를 제외해야합니다. 여기에 설명과 같은 알고리즘을 사용할 수는 없지만 nonce id가 나를위한 최상의 솔루션이라고 생각합니다. https://tomcat.apache.org/tomcat-8.0-doc/config/filter.html#CSRF_Prevention_Filter_for_REST_APIs 모든 호출 요청을 변경해야하므로이 인수를 적용하십시오. 매우 비쌉니다. 모든 게시 및 강제 클라이언트에 대해 get을 추가하십시오. 두 번째 호출을 할), 그래서 정적 포함 가져 오기를 사용하여 모든 내 JSP에 입력 된 숨겨진 된 텍스트 상자를 추가하기로 결정하고 일치하는 세션 Nonce ID 및 nonce ID를 요청하는 Java 필터. 그것은 내 솔루션 좋은 연습 알고리즘 알고리즘을 대체 할 수 있습니까? 나쁜 영어로 죄송합니다.웹 사이트의 POST 요청에서 CSRF를 방지하는 것
Thanks!
로비의
실제 보호 란 무엇을 의미합니까? 예 : http secure (https/tls)? – robyp7
@ robyp7, 그건 정말 훌륭한 질문입니다. 실제 보호를 통해 클라이언트 쪽에서 데이터가 정확하다는 것을 믿지 않고 서버 측에서 중요한 보안 관련 내용을 모두 수행한다고 말합니다. 물론 SQL 인젝션 가능성이 없는지, DDoS 공격에 잘 대처할 수 있는지 등을 확인해야합니다. 문자 그대로 수많은 주제의 서적이 있습니다. 우리는 단지 그 표면을 긁었습니다. –