Spring MVC:如何保护CSRF和XSS的应用程序

时间:2012-01-22 04:22:22

标签: spring-mvc xss csrf

从CSRF和XSS保护Spring MVC应用程序的最佳方法是什么。

是否有本机Spring MVC支持?

3 个答案:

答案 0 :(得分:7)

在春天:

表格(全球):

<context-param>
<param-name>defaultHtmlEscape</param-name>
<param-value>true</param-value>
</context-param>

表格(本地):

<spring:htmlEscape defaultHtmlEscape="true" />

答案 1 :(得分:2)

您可以使用Spring Security 3.2.0.RELEASE并使用此配置启用csrf支持

<http>
    <!-- ... -->
    <csrf />
</http>

答案 2 :(得分:0)

这是一篇关于它的博客。

http://blog.eyallupu.com/2012/04/csrf-defense-in-spring-mvc-31.html

另一个。

http://web.securityinnovation.com/appsec-weekly/blog/bid/79007/How-to-Prevent-Cross-Site-Request-Forgery-CSRF-in-SpringMVC

对于令牌生成,可以使用esapi。 https://code.google.com/p/owasp-esapi-java/

相关问题
最新问题