我在浏览器中运行spring web应用程序。我登录到我的帐户,并使用URL更新一些值说localhost:80/update/name
。在控制器端,我检查principal==null
是否不重定向到登录页面。Spring安全:限制其他Web应用程序访问
现在,而登录到此应用程序。我在同一浏览器中打开其他Web应用程序页面,并通过ajax调用执行相同的更新URL localhost:80/update/name
,它正在更新该值。我如何避免这种安全威胁。
我如何确保Application1更新网址将仅由application1请求执行?无论应用程序2是否在同一浏览器中,都不应允许应用程序2执行应用程序1的更新请求?
如何避免在同一浏览器,因为我从APP2访问APP1网址 – manish 2014-10-28 20:26:47
是啊我知道它在同一个浏览器会话中的COS将被启用,直到注销。但我的问题是如何防止这种访问来自其他应用程序的其他应用程序请求 – manish 2014-10-28 20:40:04
如果您想防止跨站点请求伪造,spring security 3.2可以直接使用。它可以自动将'_csrf'令牌添加到任何表单并在表单提交中对其进行控制。对任何其他应用程序来说,随机生成的令牌应该是未知的。 Spring Security参考手册中有很好的例子。但它不完全是你所描述的;-) – 2014-10-28 20:53:29