JFinal

登录 注册

HTML form without CSRF protection

项目是用Jfinaly1.8搞的,现在验收的时候出现这个漏洞?请问下这个怎么处理?

评论

  • 05-19 18:22
    考虑如下办法:
    1:用拦截器,检查请求中的 Referer 是否是本站域名,避免从其它地方跳转过来的恶意请求
    2:对于敏感性的业务请求,采用隐藏域传递 token,避免恶意请求伪造请求。在表单提交前必须要先获取到一个 token,并且 token 使用一次立即失效
    3:对于大额支付类需要高度案全的场景,甚至可以考虑密码或者验证码验证

    jfinal 项目是标准的 java web 项目,所以以前你所掌握的 CSRF 防范的方法依然有用,直接用于 jfinal 项目即可。

    充分利用 jfinal 的拦截器、Handler 来进行处理
  • 发送