对基于 Liferay 5.2.3 的站点进行 CSRF 校对的最佳实践是什么? OWASP 推荐 (http://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet#General_Recommendation:_Synchronizer_Token_Pattern
) 使用 Synchronizer token 模式,但手动执行此操作似乎很乏味,尤其是跨多个 portlet 共享 token 。
应该配备一个全面的 portlet 容器来处理这个问题,并且 bug report来自 Liferay 站点的信息似乎也表明确实如此。但是,我找不到有关如何执行此操作的更多信息。
最佳答案
如果您使用 Tomcat 6 或更高版本,您可以使用跨站请求伪造预防过滤器, 在类 org.apache.catalina.filters.CsrfPreventionFilter 中实现。请参阅 Apache Tomcat 文档。也许,对你有帮助。
关于java - 防止 Liferay 中的跨站请求伪造,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3369480/