Маркер Проверки CSRF: безопасный идентификатор сессии?
Вы, вероятно, неправильно импортировали библиотеку. У вас должно быть что-то подобное:
import java.util.ArrayList;
import java.util.Scanner;
2 ответа
Этот подход корректен. Необходимо удостовериться, что все действия, доступные через ПОЛУЧИТЬ операцию, "безопасны" (который является лучшей практикой так или иначе), так как Вы применяете свою защиту XSRF к СООБЩЕНИЯМ только.
Для дополнительной страховки Вы могли использовать его на, ДОБИРАЕТСЯ также (путем добавления параметра URL ко всем ссылкам и проверки на него в каждом ПОЛУЧАТЬ запрос), но это является громоздким.
Если Вы - дополнительный параноик, можно выбрать другое случайное число для альтернативного идентификатора. Это защитило бы Вас, даже если браузер неправильно делает Ваши сеансовые куки доступными для некоторого враждебного JavaScript на другом сайте. Когда сессия будет создана, выберите другое большое случайное число и сохраните его на своей сессии.
Идеально Вы хотели бы использовать что-то другое, чем идентификатор сессии, но в основном вот именно. OWASP предлагает использовать случайное имя элемента формы, которое хранится на сессии пользователя. Таким образом, взломщик даже не смог бы подделать корректное скрытое поле.