Защита от CSRF в Tomcat

Как я могу предотвратить уязвимости CSRF в Tomcat?

Я использую сервер Tomcat для своего приложения, и мне нужно защитить свое приложение от атак CSRF. Есть ли какая-нибудь техника для этого?


javascript csrf tomcat6 csrf-protection
person Yasin    schedule 03.12.2010    source источник
comment
Вам не нужно публиковать вопросы дважды.   -  person dan_waterworth    schedule 03.12.2010
comment
возможный дубликат методов защиты CSRF   -  person JoseK    schedule 03.12.2010
comment
Ваш вопрос какой-то расплывчатый. Вас беспокоит ваше приложение или сам Tomcat? В обоих случаях не могли бы вы предоставить некоторую информацию о версии Tomcat, языке, используемых платформах и т. д.?   -  person codeporn    schedule 03.12.2010
comment
Я думаю, что это оба случая. В настоящее время я использую tomcat 5.5.13 в своем проекте‹   -  person Yasin    schedule 03.12.2010
comment
Мне нужно в обоих случаях, в настоящее время я использую tomcat 5.5.13. Для интерфейса IU используются Extjs и javascript, бэкэнд Java и управляющий jsp. Если это невозможно, пожалуйста, дайте мне решение для стороны Tomcat.   -  person Yasin    schedule 03.12.2010

Ответы (2)


arrow_upward
3
arrow_downward

Tomcat 7 и Tomcat 6.0.30 имеют встроенную защиту от CSRF (вам нужно ее активировать).

http://www.tomcatexpert.com/blog/2011/05/09/cross-site-request-forgery

person Ralph    schedule 14.07.2011
comment
Я провожу с ним более одного дня и заставляю его работать, но я не связываю эту реализацию. - person Ralph; 15.07.2011
comment
Ссылки больше нет, но у Google есть кеш: s.apache.org/peqS - person JacquesLeRoux; 01.06.2018

arrow_upward
0
arrow_downward

Сначала Томкэт; Докажите, что я неправ, но я думаю, что уязвимостей CSRF в настоящее время не существует для самого контейнера.

Если вас беспокоят какие-либо другие уязвимости Tomcat, я бы посоветовал подписаться на некоторые из списков рассылки по адресу SecurityFocus, в особенно BugTraq, и часто проверяйте страницу безопасности Tomcat 5. И самая важная часть: держите ваш Tomcat в актуальном состоянии.


Что касается приложения, то сложно сказать вам, как защитить ваше приложение, не зная его или не видя кода, но здесь, в OWASP Wiki, есть несколько общих подходов чтобы понять, избежать и протестировать уязвимости CSRF.

Другим вариантом может быть раннее внедрение Tomcat 7, в котором есть 'Фильтр предотвращения CSRF'. Также есть парень, который хочет обратите это на Tomcat 5/6.

person codeporn    schedule 06.12.2010