Tomcat RestCsrfPreventionFilter -无法获取CSRF nonce
Tomcat RestCsrfPreventionFilter -无法获取CSRF nonce
提问于 2018-04-13 22:23:23
我已经在Tomcat中为我的REST API启用了RestCsrfPreventionFilter。在更高的层次上,它基本上是正确的。任何修改我的应用程序状态(即POST、PUT等)的端点都会因为请求中没有CSRF nonce而被拒绝。
我遇到的问题是,我似乎不能一开始就获得CSRF nonce。我尝试过的任何请求都没有将此令牌返回给我。如果我不能从服务器获取CSRF nonce,我应该如何返回它?
我已经看过了所有的文档。我只是看不到任何迹象表明我应该如何开始获得nonce。
过滤器配置:
<filter>
<filter-name>RestCSRF</filter-name>
<filter-class>org.apache.catalina.filters.RestCsrfPreventionFilter</filter-class>
<init-param>
<param-name>denyStatus</param-name>
<param-value>403</param-value>
</init-param>
<init-param>
<param-name>pathsAcceptingParams</param-name>
<param-value>/rest/*</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>RestCSRF</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>回答 1
Stack Overflow用户
发布于 2019-12-28 01:41:51
这里的解决方案很简单。任何带有头X-CSRF-TOKEN=fetch的有效GET请求都将在同名的响应头中返回nonce。然后,我在POST或其他后续请求中设置X-CSRF-TOKEN=NONCE。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/49819212
复制相关文章
相似问题
腾讯云开发者
