Erste 403-Fehler, wenn CSRF-Filter mit tomcat mit 6.0.32

Question

Das ist mein Filer config in web.xml

<filter> 
    <filter-name>CSRFPreventionFilter</filter-name> 
    <filter-class>org.apache.catalina.filters.CsrfPreventionFilter</filter-class> 
    <init-param> 
     <param-name>entryPoints</param-name> 
     <param-value>/login<param-value> 
    </init-param> 
</filter> 

<filter-mapping> 
    <filter-name>CSRFPreventionFilter</filter-name> 
    <url-pattern>/*</url-pattern> 
</filter-mapping> 
<filter> 

ich etwas fehle? Sind alle Code-Änderungen notwendig csrf Schutz in tomcat

Answer 1

Beachten Sie, dass ein ist die CSRFPreventionFilter Antwort, wenn ein Nonce nicht vorgesehen ist und die Filter erwartet man zu ermöglichen.

Ich weiß nicht, den aktuellen Stand der CSRFPreventionFilter, aber nach this thread müssen Sie jede Entry Ressource einzeln angeben (keine Platzhalter) - oder haben die Filter auf einen Pfad anwenden, die nicht enthält/So anmelden

:

<filter> 
<filter-name>CSRFPreventionFilter</filter-name> 
<filter-class>org.apache.catalina.filters.CsrfPreventionFilter</filter-class> 
<init-param> 
    <param-name>entryPoints</param-name> 
    <param-value>/login/login.html,/login/image.png,/login/style.css</param-value> 
</init-param> 
</filter> 

Oder:

<filter-mapping> 
<filter-name>CSRFPreventionFilter</filter-name> 
<url-pattern>/csrf/*</url-pattern> 
</filter-mapping> 

-Update Dezember 2012:

Tomcat 7.0.32 behebt eine Sicherheitslücke in CSRFPreventionFilter