CSRF Guard: вводит токен в запрос POST?

Я внедрил CSRF Guard в свое веб-приложение. Он отлично работает для запросов GET (с AJAX и без AJAX), однако токен запроса POST не вводится в запрос, поэтому защита CSRF выдает исключение: Token is missing in the request.

Мой вопрос вот в чем:

  1. CSRF Guard вводит токен в запрос POST или нет? Если ДА, то что я должен искать, чтобы заставить его работать.
  2. Должен ли я изменить свои POST-запросы, чтобы они работали с защитой CSRF? (Сохраните токен в скрытых полях и используйте его для запросов POST.)

Пожалуйста, дайте мне знать ваши точки, если вы знаете об этом. Спасибо.


web-applications csrf-protection
person Simpal Kumar    schedule 20.12.2014    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Насколько я знаю, вам нужно только установить следующее свойство в файле csrfguard.properties, чтобы оно работало для данных методов:

org.owasp.csrfguard.ProtectedMethods=POST,PUT,DELETE,GET

Вы можете попробовать внедрить токен с помощью библиотеки тегов JSP, если манипулирование DOM Javascript не работает на этой странице. Более подробную информацию можно найти здесь.

person Sarneet Kaur    schedule 14.08.2015