Questions marquées «csrf-protection»

2
Jeton CSRF nécessaire lors de l'utilisation de l'authentification sans état (= sans session)?
Est-il nécessaire d'utiliser la protection CSRF lorsque l'application repose sur l'authentification sans état (en utilisant quelque chose comme HMAC)? Exemple: Nous avons une seule application de la page (sinon nous devons ajouter le jeton sur chaque lien: <a href="...?token=xyz">...</a>. L'utilisateur s'authentifie en utilisant POST /auth. En cas d'authentification réussie, le …
11
Un jeton CSRF non valide «null» a été trouvé sur le paramètre de demande «_csrf» ou l'en-tête «X-CSRF-TOKEN»
Après avoir configuré Spring Security 3.2, _csrf.tokenn'est pas lié à une demande ou à un objet de session. Voici la configuration de sécurité du printemps: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/> <form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=1" default-target-url="/index.jsp"/> <logout/> <csrf /> </http> <authentication-manager> <authentication-provider> <user-service> <user name="test" password="test" authorities="ROLE_USER/> </user-service> </authentication-provider> </authentication-manager> …
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.