Różne tokeny csrf na żądanie w ochronie wiosna

Question

Używam tagu <csrf/> w moim pliku xml bezpieczeństwa wiosny dla projektu internetowego. Oraz wysyłanie tokena CSRF w formie:

<form action="" method="post"> 
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/> 
</form> 

Ale na przechwytywaniu żądania przez BurpSuite otrzymuję taką samą CSRF żeton na każde żądanie do sesji utrzymywać.

Czy istnieje sposób, w jaki mogę wysłać inny token csrf na żądanie niż na sesję w okresie wiosennego zabezpieczenia.

Używam słoików zabezpieczających wiosna.

Answer 1

Domyślny czas trwania tokenów CSRF to czas trwania sesji. Token CSRF jest przechowywany w sesji HTTP i dlatego jest generowany dla poszczególnych sesji. Aby uzyskać więcej informacji, sprawdź numer Spring Security documentation on CSRF.

Spring Security może być rozszerzony do indywidualnych potrzeb, dzięki czemu może być przedłużony do celu.

Ale to wpływy przedłużające użyteczność:

1. otwarcia web app w drugiej zakładce spowoduje przerwy sesji w jednym lub w obu kartach.
2. Przycisk "Wstecz" na przesłanych formularzach może powodować dziwne błędy.