1.ESAPI解决CSRF的步骤
目前解决CSRF最常用的方案就是使用Token(Nonce per session),本节我们将详细介绍如何利用ESAPI来解决CSRF攻击,步骤如下。
➊ 在用户刚登录的时候,产生一个新的不可预知的CSRF Token,并且把此Token存放在用户的session中。
➋ 在任何一个需要保护的表单中,增加一个隐藏的字段来存放这个Token;对于需要保护的URL,增加一个参数来存放此Token。
➌ 提交此请求的时候,在服务器端检查提交的Token与用户session中的Token是否一致,如果一致,继续处理请求,否则返回一个错误信息给用户。
➍ 在用户退出或者session过期的时候,用户信息(包括CSRF Token)从session中移除并且销毁session。
在我们根据上面的步骤写出示例代码之前,我们先看一下ESAPI中应该注意的问题。ESAPI的核心思想是面向接口编程,每个接口用户都可以提供自己的实现,但即使用户没提供自己的实现,ESAPI也提供了默认实现,这里最关键的一点就是ESAPI.properties文件。
2.ESAPI.properties的奥秘
ESAPI.properties文件包含了所有的ESAPI中可以进行设置的部分,包括如下内容。
用户登录时的信息,例如:
Log等级(OFF、FATAL、ERROR、WARNING
阅读全文地址:
http://book.2cto.com/201212/12162.html
