如何在 Liferay 中启用 CSRF 保护

How to enable CSRF protection in Liferay

我正在尝试在 Liferay 6.1 中启用 CSRF。我在 portal-ext.properties

中有这个
auth.token.check.enabled=true
auth.token.impl=com.liferay.portal.security.auth.SessionAuthToken

我在portlet.xml

中也有这个
<init-param>
    <name>check-auth-token</name>
    <value>true</value>
</init-param>

但是我看不到 p_auth 参数应该出现在 url 中。我还需要做些什么才能让它正常工作吗?

以上配置似乎可以很好地启用身份验证令牌。

p_auth 参数为所有 ACTION 请求添加,并且仍然可以配置操作以使用 属性 "auth.token.ignore.actions"

跳过身份验证令牌

请确保您正在检查 p_auth 的 URL 是操作 URL 并且不包含在为 auth.token.ignore.actions 指定的操作中。