Tomcat 7和CSRF过滤器

我认为这个问题现在已经不再重要,因为这个问题是在几年前提出的,但我偶尔会访问它以获得一些使用的提示org.apache.catalina.filters.CsrfPreventionFilter.正如tomcat官方网站CSRF_Prevention_Filter上的文档所述,CsrfPreventionFilter假设这被映射到"/*",并使用init-param命名的"entryPoints"来保存URL

提供一种在导航远离它后导航回受保护应用程序的方法

我将尝试以CsrfPreventionFilter简单的方式解释所完成的工作:

首先,当客户端访问应用程序时,请求的URL必须由过滤器映射并匹配其中一个entryPoints.所以这CsrfPreventionFilter可能会产生一个新的随机数,并存储到会话和包装的响应压倒一切的 HttpServletResponse#encodeRedirectURL(String)和HttpServletResponse#encodeURL(String),而不会阻塞请求(通过返回403) .

HttpServletResponse#encodeRedirectURL(String) or HttpServletResponse#encodeURL(String)正如您在表单操作中所做的那样,页面中的URL应该由编码.事实上,"编码"是在第一步中附加请求参数名称"org.apache.catalina.filters.CSRF_NONCE",其值为filter生成的nonce.

当客户端访问页面中编码的URL时,CsrfPreventionFilter会检查请求是否有效 - nonce是否匹配当前会话中存储的那些(使用大小为5的LRUCache默认值,可以通过init-param设置nonceCacheSize).

因此,除非exampleservlet您声明的servlet 也映射到"/*"或" /html,/html/",并且/ html可能导致页面保存表单,否则您的代码将无效.

因为您使用的响应

<FORM METHOD="POST" ACTION="<%=response.encodeURL("/exampleservlet")%>">

没有被包裹,CsrfPreventionFilter并且不会做魔法来附加nonce.

不是

<INPUT TYPE="HIDDEN" NAME="org.apache.catalina.filters.CSRF_NONCE" VALUE="<%=session.getAttribute("org.apache.catalina.filters.CSRF_NONCE")%>">

会成功,因为过滤器从未设置过会话属性"org.apache.catalina.filters.CSRF_NONCE".即使有一个,它仍然拥有一个LRUCache实例,但不是一个nonce字符串.