防止Liferay中的跨站点请求伪造

Question

CSRF的最佳实践是基于Liferay 5.2.3的站点的最佳实践？ OWASP建议（http://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet#General_Recommendation:_Synchronizer_Token_Pattern）使用Synchronizer令牌模式，但手动执行此操作似乎很乏味，尤其是在多个Portlet之间共享令牌。

应该配备一个全面的portlet容器来处理这个问题，Liferay站点的bug report也似乎表明它的确如此。但是，我找不到有关如何执行此操作的更多信息。

Answer 1

如果您使用的是Tomcat 6或更高版本，则可以使用类org.apache.catalina.filters.CsrfPreventionFilter中实现的跨站请求伪造防护筛选器 。请参阅Apache Tomcat文档。也许，帮助你。