WSO2 IS 5.2.0 CSRF 保护通过 CSRFGuard and/or CSRF Filter/Valve?
WSO2 IS 5.2.0 CSRF Protection via CSRFGuard and/or CSRF Filter/Valve?
WSO2 Identity Server 5.2.0 的文档描述了使用 CSRF Filter 或 CSRF Valve 作为减轻 CSRF 攻击的方法 - 请参阅:WSO2 IS 5.2.0 Documentation。
该配置在 IS 5.1.0 的 carbon.xml 中可用,但在 IS 5.2.0 中缺失。
相反,IS 5.2.0 使用 OWASP CSRF Guard,如 WSO2 Carbon Documentation 中所述。
我的问题是:我应该同时激活这两种保护机制还是 CSRF Guard 就足够了?
附加问题:CRLPFreventionConfig 在 5.2.0 中也消失了。是否仍然需要并且应该添加到 carbon.xml 文件中?
对于WSO2 IS 5.2.0,(或者更确切地说,基于WSO2 Carbon Kernel 4.4.6+的产品)正在使用基于OWASP CSRFGuard的统一CSRF预防机制。
因此,IS 5.2.0 的文档不一定会提及CSRF 预防,因为它默认启用了CSRF 保护。请参考创建的问题跟踪器中的票证“DOCUMENTATION-4043”,以在整个最新产品文档中更正此问题。
总之,OWASP CSRFGuard 对于 WSO2 Identity Server 5.2.0 已经足够了,您不再需要启用过滤器或阀门。
CRLF 预防默认从 Tomcat 级别开始提供。因此,此配置已从产品配置中删除。尽管它已从 Carbon Kernel 文档中删除,但似乎相关页面在某些产品文档中仍然可用。请参考创建的问题跟踪器中的票证“DOCUMENTATION-4044”,以在整个最新产品文档中更正此问题。
WSO2 Identity Server 5.2.0 的文档描述了使用 CSRF Filter 或 CSRF Valve 作为减轻 CSRF 攻击的方法 - 请参阅:WSO2 IS 5.2.0 Documentation。 该配置在 IS 5.1.0 的 carbon.xml 中可用,但在 IS 5.2.0 中缺失。
相反,IS 5.2.0 使用 OWASP CSRF Guard,如 WSO2 Carbon Documentation 中所述。
我的问题是:我应该同时激活这两种保护机制还是 CSRF Guard 就足够了?
附加问题:CRLPFreventionConfig 在 5.2.0 中也消失了。是否仍然需要并且应该添加到 carbon.xml 文件中?
对于WSO2 IS 5.2.0,(或者更确切地说,基于WSO2 Carbon Kernel 4.4.6+的产品)正在使用基于OWASP CSRFGuard的统一CSRF预防机制。
因此,IS 5.2.0 的文档不一定会提及CSRF 预防,因为它默认启用了CSRF 保护。请参考创建的问题跟踪器中的票证“DOCUMENTATION-4043”,以在整个最新产品文档中更正此问题。
总之,OWASP CSRFGuard 对于 WSO2 Identity Server 5.2.0 已经足够了,您不再需要启用过滤器或阀门。
CRLF 预防默认从 Tomcat 级别开始提供。因此,此配置已从产品配置中删除。尽管它已从 Carbon Kernel 文档中删除,但似乎相关页面在某些产品文档中仍然可用。请参考创建的问题跟踪器中的票证“DOCUMENTATION-4044”,以在整个最新产品文档中更正此问题。