CSRF-Schutz in Tomcat
Wie kann ich verhindern von CSRF-Schwachstellen in Tomcat?
Ich bin mit dem Tomcat-server für meine Anwendung und ich muss zum Schutz meiner Anwendung von CSRF-Angriffen. Gibt es eine Technik, dies zu tun?
- Sie brauchen nicht Fragen zu stellen zweimal.
- mögliche Duplikate von CSRF-Schutz-Techniken
- Deine Frage ist ziemlich vage. Es ist Ihre Anwendung, Sie sind besorgt oder über den Tomcat selbst? In beiden Fällen könnten Sie ein paar Informationen über die Tomcat-version, Sprache, frameworks, etc?
- Ich denke, es ist in beiden Fällen Momentan benutze ich tomcat 5.5.13, in meinem Projekt<
- Ich brauche in beiden Fällen, Momentan benutze ich tomcat 5.5.13. Für IU vor Extjs und javascript, backend-Java-und-controlling-jsp verwendet werden. Wenn nicht möglich bitte geben Sie mir Lösung für den Tomcat-Seite.
Du musst angemeldet sein, um einen Kommentar abzugeben.
Tomcat 7 und Tomcat 6.0.30 bauen im CSRF-Schutz (Sie brauchen, um es zu aktivieren).
http://www.tomcatexpert.com/blog/2011/05/09/cross-site-request-forgery
Zuerst die Tomcat; Beweisen Sie mich nicht falsch, aber ich denke, CSRF-Schwachstellen gibt es derzeit nicht, für die container selbst.
Wenn Sie sich sorgen über irgendwelche anderen Tomcat-Schwachstellen, würde ich vorschlagen, zu abonnieren, um einige der mailing-Listen an SecurityFocus, insbesondere die BugTraq, und Häufig überprüfen Sie die Tomcat 5 Sicherheit Seite.
Und das wichtigste: Halten Sie Ihre Tomcat gepatcht und up to date.
In Bezug auf die Anwendung, es ist irgendwie schwer zu sagen, wie Sie zur Sicherheit Ihrer Anwendung, ohne es zu wissen oder zu sehen-code, aber hier im OWASP Wiki, gibt es einige Allgemeine Konzepte zu verstehen, zu vermeiden und test gegen CSRF Schwachstellen.
Andere Möglichkeit wäre zu früh verabschieden Tomcat 7, welche Funktionen ein 'Prävention CSRF-Filter'. Es gibt auch einige Kerl, wer will portieren diese auf dem Tomcat 5/6.