Uzyskiwanie błąd 403 przy użyciu filtra CSRF z Tomcat 6.0.32

Question

To jest moja filer config w web.xml

<filter> 
    <filter-name>CSRFPreventionFilter</filter-name> 
    <filter-class>org.apache.catalina.filters.CsrfPreventionFilter</filter-class> 
    <init-param> 
     <param-name>entryPoints</param-name> 
     <param-value>/login<param-value> 
    </init-param> 
</filter> 

<filter-mapping> 
    <filter-name>CSRFPreventionFilter</filter-name> 
    <url-pattern>/*</url-pattern> 
</filter-mapping> 
<filter> 

jestem brakuje czegoś? Są jakieś zmiany kodu niezbędne, aby umożliwić ochronę CSRF w Tomcat

Answer 1

pamiętać, że jest odpowiedzią CSRFPreventionFilter jeśli nonce nie jest przewidziane i filtr spodziewa jeden.

Nie znam obecnego stanu CSRFPreventionFilter, ale według this thread trzeba podać każdą punkt_wejścia zasobu indywidualnie (bez symboli wieloznacznych) - lub mieć filtr zastosować do ścieżki, która nie zawiera /zaloguj

Więc:

<filter> 
<filter-name>CSRFPreventionFilter</filter-name> 
<filter-class>org.apache.catalina.filters.CsrfPreventionFilter</filter-class> 
<init-param> 
    <param-name>entryPoints</param-name> 
    <param-value>/login/login.html,/login/image.png,/login/style.css</param-value> 
</init-param> 
</filter> 

czyli

<filter-mapping> 
<filter-name>CSRFPreventionFilter</filter-name> 
<url-pattern>/csrf/*</url-pattern> 
</filter-mapping> 

Aktualizacja grudzień 2012:

Tomcat 7.0.32 naprawia lukę w zabezpieczeniach CSRFPreventionFilter