Ich muss reafact aber nicht so sehr eine Webapp (JSP ohne Tag-Bibliotheken) für CSRF Angriff verhindern. Ich kann nicht einen Algorithmus wie hier beschreiben, aber ich denke, Nonce ID ist die beste Lösung für mich: https://tomcat.apache.org/tomcat-8.0-doc/config/filter.html#CSRF_Prevention_Filter_for_REST_APIs Wenden Sie diese Argumente an, ist sehr teuer, weil ich alle Aufrufanforderung ändern muss (fügen Sie für jeden Post ein und zwingen Client um einen zweiten Aufruf auszuführen), entscheide ich mich dafür, ein verstecktes Eingabe-Eingabefeld in allen meinen jsp hinzuzufügen, indem ich einen statischen Include-Import und einen Java-Filter für die Übereinstimmungssitzung der Nonce-ID und der Anforderungs-Nonce-ID verwende. Ist es meine Lösung eine gute Übung und eine Alternative zum Restalgorithmus? Sorry für mein schlechtes Englisch ..verhindert CSRF in einer Website POST-Anfrage
Danke!
Roby
Was meinen Sie für Realschutz? zum Beispiel http sicher (https/tls)? – robyp7
@ robyp7, das ist eigentlich eine ausgezeichnete Frage. Durch echten Schutz beziehe ich mich darauf, der Client-Seite nicht zu glauben, dass die Daten korrekt sind und alle wichtigen sicherheitsrelevanten Dinge auf Serverseite erledigen. Natürlich müssen Sie sicherstellen, dass keine SQL-Injektion möglich ist, dass Sie mit DDOS-Angriffen gut zurechtkommen und so weiter und so weiter. Es gibt buchstäblich Tonnen von Büchern in dem Thema und wir haben nur an der Oberfläche gekratzt. –