nous faisons des corrections XSRF pour notre code. nous utilisons le jeton de session pour demander la méthode de comparaison des jetons pour y parvenir. dans le cas où le jeton de session n'est pas égal au jeton de requête, nous redirigerons vers la page d'erreur.pourquoi c'est une bonne idée de désactiver REFRESH dans l'application web (pour des raisons de sécurité)
Problème: Une fois que nous sommes dans la page Menu principal, si l'utilisateur "actualiser" la page, il lance XSRF problème. Raison: Comme il n'y aura pas de jeton de demande (lorsque nous actualisons une page). Puisque le jeton de requête est NULL et n'est pas égal au jeton de session, il lançait une erreur XSRF.
Les utilisateurs de l'application ne sont pas très satisfaits de cette approche. est-il possible d'activer l'actualisation de la page? ou est-il absolument nécessaire/important de désactiver l'actualisation de la page (pour des raisons de sécurité)?
Merci d'avance.
Je configure le jeton de requête en tant que variable cachée dans la JSP. pour la première fois quand la page se charge car nous n'avons pas de jeton de requête, nous avons un jeton qui sera VRAI. Ainsi, la demande initiale passe par le filtre. Dès lors, l'application dépend des jetons de requête. Une fois la première page chargée, ce jeton initial sera mis à FALSE. alors maintenant nous n'avons pas de jeton initial ou de jeton de requête pour la première page. donc à rafraîchir cela échoue. – micheal
On dirait que votre conception ne permet pas l'actualisation. Vous devez envoyer le jeton initial à chaque demande de page. –