WSO2 IS 5.2.0 Защита CSRF через CSRFGuard и/или фильтр/клапан CSRF?

Question

Документация WSO2 Identity Server 5.2.0 описывает использование фильтра CSRF или CSRF Valve в качестве способа смягчения атак CSRF - см.: WSO2 IS 5.2.0 Documentation. Конфигурация для этого была доступна в carbon.xml IS 5.1.0, но отсутствует в IS 5.2.0.

Вместо этого IS 5.2.0 использует OWASP CSRF Guard, как описано в WSO2 Carbon Documentation.

Мой вопрос: должен ли я активировать оба механизма защиты или достаточно CSRF Guard?

Вопрос о дополнении: CRLFPreventionConfig также исчез в 5.2.0. Это все еще необходимо и должно быть добавлено в файл carbon.xml?

Answer 1

С WSO2 IS 5.2.0 (или, если быть точным, с продуктами на базе ядра WSO2 4.4.6+) используется единый механизм предотвращения CSRF на основе OWASP CSRFGuard.

Поэтому в документации IS 5.2.0 не обязательно упоминать о предотвращении CSRF, поскольку по умолчанию включена защита CSRF. Пожалуйста, обратитесь к билету «DOCUMENTATION-4043» из трекера треков, созданного для исправления этой ошибки в последних документах продукта.

В заключение, OWASP CSRFGuard достаточно для WSO2 Identity Server 5.2.0, и вам больше не нужно включать фильтр или клапан.

Предотвращение CRLF по умолчанию доступно на уровне Tomcat. Поэтому эта конфигурация была удалена из конфигурации продукта. Несмотря на то, что он был удален из документации по карбонному ядру, похоже, соответствующие страницы по-прежнему доступны в некоторых документах по продуктам. Пожалуйста, обратитесь к билету «DOCUMENTATION-4044» из трекера, созданного для исправления этой ошибки в последних документах продукта.