没有CSRF保护的HTML表单漏洞解决办法
解决⽅法: Cookies Hashing:每⼀个表单请求中都加⼊随机的Cookie,由于⽹站中存在XSS漏洞⽽被偷窃的危险。
在Jsp⽂件头引⼊jsessionid
<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
在登录的jsp中添加
<% //增加随机数,解决 CSRF 漏洞
String uuid = UUID.randomUUID().toString().replaceAll("-", "");
//设置cookie只读
String sessionid = Session().getId();
response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; secure ; HttpOnly"); %>
form表单中添加⼀个隐藏域:Input
<input type="hidden" name="randSesion" value = "<%=Session().getAttribute("randTxt")%>" />

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。