点击此处---> 群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
你好,
在我从事的项目中,我们面临与CRSF令牌有关的问题。 当用户首次访问该站点并希望通过使用特定模块向购物车中添加商品时,将发送后请求。 在此请求中,有一个CSRF令牌,这引出了我的第一个询问:
1:此令牌添加到请求中的什么位置?
必须生成令牌并在某个时间点将其传递给用户。
2:如何(在哪里)完成的?
还奇怪的是,此问题仅发生在生活店,而不发生在任何其他开发/测试店。 它也仅在使用一个特定模块时才出现(第一次)。 对于所有其他模块,它都可以正常工作。
整件事导致用户无法将其选择的商品放入购物车。
为什么会发生这种情况的任何想法?
欢呼
拉斐尔
CSRF令牌由Spring Security管理,并且在整个请求中应该是唯一的。 您是否尝试过在生产网站上使用缓存解决方案? 因为如果你这样做; 您需要确保永远不要缓存该值,因为每个会话都需要使用不同的令牌。
CSRF令牌是会话作用域的。 您遇到的问题可能是由于会话超时引起的:用户打开一个表单,等待会话超时然后提交表单。 但是安全最佳实践要求使用此类CSRF令牌来缓解XSS漏洞。
对于使用Spring表单呈现的每个表单,令牌是由
org.springframework.security.taglibs.csrf.CsrfInputTag
添加的。 如果您使用的是标准HTML表单标签,则可以自行添加和填充相应的字段。一周热门 更多>