CSRF保护和Session固定保护哪个更重要
What is more important CSRF protection or Session fixation protection
我正在尝试为我的 Web 应用程序实施 Tomcats CSRF 保护过滤器,其中用户存储在 MySQL 数据库中,并且由于我的控制器被写入转发所有请求我已经编辑了过滤器映射到
<filter-mapping>
<filter-name>
CSRFPreventionFilter
</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
<dispatcher>FORWARD</dispatcher>
</filter-mapping>
然而,根据 OWASP 的建议,我也会在用户登录时使用户会话无效,然后创建一个新会话。
这会导致过滤器启动,我收到 403。
我环顾四周,但找不到让过滤器使用此策略的方法。
那么我应该放弃过滤器还是使会话无效?
解决方法是为成功登录定义一个附加页面
我正在尝试为我的 Web 应用程序实施 Tomcats CSRF 保护过滤器,其中用户存储在 MySQL 数据库中,并且由于我的控制器被写入转发所有请求我已经编辑了过滤器映射到
<filter-mapping>
<filter-name>
CSRFPreventionFilter
</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
<dispatcher>FORWARD</dispatcher>
</filter-mapping>
然而,根据 OWASP 的建议,我也会在用户登录时使用户会话无效,然后创建一个新会话。
这会导致过滤器启动,我收到 403。
我环顾四周,但找不到让过滤器使用此策略的方法。
那么我应该放弃过滤器还是使会话无效?
解决方法是为成功登录定义一个附加页面