Comment puis-je empêcher les vulnérabilités CSRF dans Tomcat? J'utilise le serveur Tomcat pour mon application et je dois protéger mon application contre les attaques CSRF. Y a-t-il une technique pour le faire?Protection CSRF dans Tomcat
D'abord le Tomcat; Prouver que je me trompe, mais je pense que les vulnérabilités CSRF n'existent pas actuellement pour le conteneur lui-même.
Si vous vous inquiétez d'autres vulnérabilités Tomcat, je suggère de vous abonner à certaines des listes de diffusion au SecurityFocus, en particulier le BugTraq, et de vérifier fréquemment le Tomcat 5 Security page. Et la partie la plus importante: Gardez votre Tomcat patché et à jour.
En ce qui concerne l'application, il est un peu difficile de vous dire comment sécuriser votre application, sans le savoir ou voir le code, mais here in the OWASP Wiki, il y a quelques approches genereal pour comprendre, éviter et de test contre les vulnérabilités CSRF.
Une autre option serait d'adopter rapidement Tomcat 7, qui dispose d'un 'CSRF Prevention Filter'. Il y a aussi un gars qui veut backport this to Tomcat 5/6.
Tomcat 7 et Tomcat 6.0.30 intègrent une protection CSRF (vous devez l'activer).
http://www.tomcatexpert.com/blog/2011/05/09/cross-site-request-forgery
Vous n'avez pas besoin de poser des questions deux fois. –
duplication possible de [techniques de protection CSRF] (http://stackoverflow.com/questions/4343323/csrf-protection-techniques) – JoseK
Votre question est plutôt vague. Est-ce votre application qui vous inquiète ou le Tomcat lui-même? Dans les deux cas, pourriez-vous fournir des informations sur la version de Tomcat, la langue, les frameworks utilisés, etc.? – codeporn