我在我的spring security xml文件中使用<csrf/>标记用于Web项目。并以一种形式发送csrf令牌:
<form action="" method="post">
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
</form>
但是在通过BurpSuite拦截请求时,我会在每个请求上获得相同的csrf令牌,直到会话持续存在。
有没有办法可以为每个请求发送不同的csrf令牌,而不是每个会话在spring security中。
我正在使用3.2.4弹簧安全罐。
答案 0 :(得分:5)
CSRF令牌的默认持续时间是会话持续时间。 CSRF令牌存储在HTTP会话中,因此基于每个会话生成。查看Spring Security documentation on CSRF了解详情。
Spring Security可以扩展以满足个人需求,因此可以为您的目的进行扩展。
但是,这种扩展会影响可用性: