1
我最近在我的Web應用程序中啓用了CSRF保護。有大約100多個包含FORM提交的JSP頁面。什麼是添加CSRF令牌的最佳方式:向所有FORM提交添加CSRF令牌
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
,使得所有的表單提交纔會有這種形式的數據。我不想將此參數添加到每個單獨的FORM提交。
A
回答
0
所以我終於找到了一個可行的解決方案。基本上我創建一個自定義FormRenderer這樣的:
import com.sun.faces.renderkit.html_basic.FormRenderer;
import javax.el.ELContext;
import javax.el.ExpressionFactory;
import javax.faces.component.UIComponent;
import javax.faces.context.FacesContext;
import javax.faces.context.ResponseWriter;
import java.io.IOException;
public class FormWithCSRFRenderer extends FormRenderer {
@Override
public void encodeEnd(FacesContext context, UIComponent component) throws IOException {
log.debug("FormWithCSRFRenderer - Adding CSRF Token to form element");
ELContext elContext = context.getELContext();
ExpressionFactory expFactory = context.getApplication().getExpressionFactory();
ResponseWriter writer = context.getResponseWriter();
writer.startElement("input", component);
writer.writeAttribute("type", "hidden", null);
writer.writeAttribute("name", expFactory.createValueExpression(elContext, "${_csrf.parameterName}", String.class).getValue(elContext), null);
writer.writeAttribute("value", expFactory.createValueExpression(elContext, "${_csrf.token}", String.class).getValue(elContext), null);
writer.endElement("input");
writer.write("\n");
super.encodeEnd(context, component);
}
}
然後通過faces-config.xml設置它註冊它覆蓋FormRenderer:
<?xml version="1.0" encoding="UTF-8"?>
<faces-config xmlns="http://xmlns.jcp.org/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-facesconfig_2_2.xsd"
version="2.2">
<render-kit>
<renderer>
<component-family>javax.faces.Form</component-family>
<renderer-type>javax.faces.Form</renderer-type>
<renderer-class>com.acme.FormWithCSRFRenderer</renderer-class>
</renderer>
</render-kit>
</faces-config>
我試圖創建一個組件,然後將其添加爲孩子,但它不會讓我正確設置輸入的名稱,所以我直接寫它。
相關問題
- 1. 爲window.location.href添加CSRF令牌
- 2. Symfony 2 Ajax提交,令牌CSRF無效
- 3. 添加CSRF令牌mockmvc和JUnit
- 4. 如何添加CSRF令牌ID重定向() - >操作
- 5. httplib - CSRF令牌
- 6. 笨,CSRF令牌
- 7. csrf令牌dajaxice
- 8. CSRF令牌沒有找到
- 9. 表單提交出錯:CSRF令牌無效。請嘗試重新提交表格
- 10. CSRF令牌無效。請嘗試重新提交表單
- 11. laravel ajax表單提交csrf令牌不起作用
- 12. 禁用symfony的CSRF 2 Ajax的令牌保護提交
- 13. Symfony2:CSRF令牌無效。請嘗試重新提交表格
- 14. CSRF令牌在提交表單時無法正常工作
- 15. 在提交表單和驗證表單後更改CSRF令牌
- 16. Symfony2 CSRF令牌無效。請嘗試重新提交表單
- 17. 如何在郵遞員提交不CSRF令牌laravel
- 18. Laravel 4:防止多表單提交 - CSRF令牌
- 19. 當使用AJAX提交表單時,CSRF令牌不起作用
- 20. Symfony 3 - CSRF令牌無效。請嘗試重新提交表格
- 21. API Rest「CSRF令牌無效,請嘗試重新提交表單。」
- 22. 提取CSRF令牌的Django應用
- 23. csrf令牌使用
- 24. CSRF令牌生成
- 25. Laravel behat CSRF令牌
- 26. 避免CSRF令牌
- 27. 瞭解CSRF令牌
- 28. csrf令牌跟進
- 29. Flask-Security CSRF令牌
- 30. CSRF同步令牌
也許你想使用ajax? – FreezY
我正要問同樣的問題,我也試圖創建自己的表單標籤,但屬性有點複雜,包括/傳遞給內部表單。接下來是在渲染時重寫表單行爲。將讓你張貼 – TecHunter
最簡單的方法是使用JavaScript將此元素添加到每個表單 – TecHunter