java - CsrfGuard 的问题。尽管从官方网站配置,csrf 抛出一个问题
问题描述
我对配置 CsrfGuard 有疑问。我使用来自 github 的配置(在这里 -> https://github.com/aramrami/OWASP-CSRFGuard/tree/d197506c122aefa09af807ac48e944d778bf624c/csrfguard-test)。
我尝试实现令牌同步器模式。当我使用它时,我仍然有警告:潜在的跨站点请求伪造(CSRF)攻击被阻止(用户:,ip:0:0:0:0:0:0:0:1,错误:所需令牌丢失请求)。
我知道有什么问题,但我不知道如何将令牌添加到我的 2 个 html 文件中。
我不使用 jsp,因为我有旧应用程序,它有很多 html 文件,我不能使用 jsp。我在简单的登录项目上尝试这个我不知道我做错了什么。
当我添加这个时:
<script src="/JavaScriptServlet"></script>
我在控制台中得到了这个:
Failed to load resource: the server responded with a status of 404 () JavaScriptServlet:1
当我将 js 文件复制到我的项目中时(路径:/WEB-INF/Owasp.CsrfGuard.js),我遇到了像这样的变量的问题:%DOMAIN_STRICT%。我知道该变量是从某个文件中检索的,但我不知道是哪一个。我不知道我做错了什么?我应该用Java编写一些代码还是在html中不起作用?
这是我在 index.html 中的代码(整个 body 标签):
<form method="POST" action="login">
<label for="username">Username:</label>
<input type="text" name="username" id="username">
<label for="password">Password:</label>
<input type="text" name="password" id="password">
<button>Submit</button>
</form>
<script src="/JavaScriptServlet"></script>
这些都是属性(对我的代码稍作修改,可能是错误的):
org.owasp.csrfguard.Logger=org.owasp.csrfguard.log.JavaLogger
org.owasp.csrfguard.NewTokenLandingPage=
org.owasp.csrfguard.configuration.provider.factory = org.owasp.csrfguard.config.overlay.ConfigurationAutodetectProviderFactory
org.owasp.csrfguard.Enabled = true
org.owasp.csrfguard.ValidateWhenNoSessionExists = true
org.owasp.csrfguard.TokenPerPage=true
org.owasp.csrfguard.TokenPerPagePrecreate=true
org.owasp.csrfguard.Ajax=true
org.owasp.csrfguard.protected.Protected=/hello.html
org.owasp.csrfguard.unprotected.Index=%servletContext%/index.html
org.owasp.csrfguard.action.Log=org.owasp.csrfguard.action.Log
org.owasp.csrfguard.action.Log.Message=potential cross-site request forgery (CSRF) attack thwarted (user:%user%, ip:%remote_ip%, uri:%request_uri%, error:%exception_message%)
org.owasp.csrfguard.action.Redirect=org.owasp.csrfguard.action.Redirect
org.owasp.csrfguard.action.Redirect.Page=%servletContext%/error.html
org.owasp.csrfguard.action.Rotate=org.owasp.csrfguard.action.Rotate
org.owasp.csrfguard.TokenName=OWASP-CSRFTOKEN
org.owasp.csrfguard.PRNG=SHA1PRNG
org.owasp.csrfguard.PRNG.Provider=SUN
org.owasp.csrfguard.Config.Print = true
org.owasp.csrfguard.JavascriptServlet.sourceFile = /script/Owasp.CsrfGuard.js
org.owasp.csrfguard.JavascriptServlet.domainStrict = true
org.owasp.csrfguard.JavascriptServlet.cacheControl = private, maxage=28800
org.owasp.csrfguard.JavascriptServlet.refererPattern = .*
org.owasp.csrfguard.JavascriptServlet.refererMatchDomain = true
org.owasp.csrfguard.JavascriptServlet.injectIntoForms = true
org.owasp.csrfguard.JavascriptServlet.injectGetForms = false
org.owasp.csrfguard.JavascriptServlet.injectFormAttributes = true
org.owasp.csrfguard.JavascriptServlet.injectIntoAttributes = true
org.owasp.csrfguard.JavascriptServlet.xRequestedWith = OWASP CSRFGuard Project
org.owasp.csrfguard.configOverlay.hierarchy = classpath:Owasp.CsrfGuard.properties, classpath:Owasp.CsrfGuard.overlay.properties
org.owasp.csrfguard.configOverlay.secondsBetweenUpdateChecks = 60
解决方案
您没有 web.xml 配置:
Failed to load resource: the server responded with a status of 404 () JavaScriptServlet:1
将此添加到 web.xml:
<servlet>
<servlet-name>JavaScriptServlet</servlet-name>
<servlet-class>org.owasp.csrfguard.servlet.JavaScriptServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>JavaScriptServlet</servlet-name>
<url-pattern>/JavaScriptServlet</url-pattern>
</servlet-mapping>
您可能没有针对所有 CSRF Guard 的 web.xml 配置。
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" id="WebApp_ID" version="2.5">
<context-param>
<param-name>Owasp.CsrfGuard.Config</param-name>
<param-value>csrfguard.properties</param-value>
</context-param>
<listener>
<listener-class>org.owasp.csrfguard.CsrfGuardServletContextListener</listener-class>
</listener>
<listener>
<listener-class>org.owasp.csrfguard.CsrfGuardHttpSessionListener</listener-class>
</listener>
<filter>
<filter-name>CSRFGuardFilter</filter-name>
<filter-class>org.owasp.csrfguard.CsrfGuardFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CSRFGuardFilter</filter-name>
<url-pattern>/hello.html</url-pattern>
</filter-mapping>
<servlet>
<servlet-name>JavaScriptServlet</servlet-name>
<servlet-class>org.owasp.csrfguard.servlet.JavaScriptServlet</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>JavaScriptServlet</servlet-name>
<url-pattern>/JavaScriptServlet</url-pattern>
</servlet-mapping>
</web-app>
将项目添加到WEB-INF/classes
文件csrfguard.properties
和WEB-INF/lib
文件中csrfguard.jar
添加到您的 hello.html:
<script type="text/javascript" src="/JavaScriptServlet"></script>
推荐阅读
- r - 将逻辑矩阵转换为整数矩阵
- python - SqlAlchemy。获取数据库上的最后一个数据
- python - 我正在尝试将 CSV 文件条目与 ldap 生产服务器进行比较并打印不匹配的结果
- for-loop - IntroJs 提示和使用 for 循环切换显示/隐藏
- javascript - 在 Typescript 中,如何将泛型传递给索引访问类型?
- gcc - 可视代码说编译器无法识别
- javascript - 如何放大圆形包装中的单个圆形节点
- kubernetes - 无法在本地 kubernetes 集群中部署 emissary-ingress。因“验证数据错误:ValidationError(CustomResourceDefinition.spec)”而失败
- clojure - Clojure Portal 工具:缺少异常查看器和其他自定义查看器
- stenciljs - Stencil js:更新组件外的DOM元素