CSRF Guard - как проверять сгенерированный токен на стороне сервера

Question

Я очень новичок в обеспечении безопасности в сети, и я пытаюсь реализовать CSRF Gaurd в своем веб-приложении.

Я выполнил всю необходимую конфигурацию в своем веб-приложении, и я вижу, что токен (FWJY-N767-M4HG-DHXT-WCE4-5J08-MV4G-LNV4) генерируется/вводится, когда я выполняю вызов ajax или когда загружается страница html. Я заметил, что токен одинаковый для каждого запроса.

Однако я не могу проверить токен на стороне сервера. Согласно моим исследованиям, он должен перейти на класс CsrfGuardFilter.java и проверить токен, но когда я отлаживаю, я вижу, что он не будет состоять из класса CsrfGuardFilter.java и не проверяет запрос на основе токена. Я получаю ответ на запросы, которые также не содержат токенов.

Может ли кто-нибудь помочь мне правильно реализовать CSRF Guard в моем веб-приложении. Спасибо за вашу помощь.

Answer 1

В моем веб-приложении я использую GWT для генерации интерфейсного JavaScript после выполнения нескольких исследований на разных форумах. Я выяснил, что из-за того, что GWT генерировал код JavaScript-кода, он не вводился в любой вызов ajax. Поэтому для реализации CSRF-защиты по GWT-коду мне нужно ввести скрипт csrf guard перед скриптом * .nocache.js.

Helpful link

Answer 2

вы должны объявить CsrfGuardFilter, CsrfGuardServletContextListener и CsrfGuardHttpSessionListener в вашем web.xml в правильном месте. В моем приложении я разместил его после создания сеанса. Кроме того, вы должны определить отображение для JavaScriptServlet.

ПРИМЕЧАНИЕ. Я использовал owasp csrfguard 3.1.0 в своем приложении, и мне нужно было только определить отображения для вышеупомянутых компонентов. Для более старых версий вам может потребоваться определить дополнительные свойства/компоненты.

я взял справку из следующего примера для моей реализации: https://github.com/aramrami/OWASP-CSRFGuard

Я надеюсь, что вы получили ваш вопрос решен, и мой ответ поможет кому-то в будущем.