Tôi có ứng dụng có Bảo vệ CSRF do mô-đun apache cung cấp. Ứng dụng của tôi containt một vài trang cho phép tải lên một số tệp, trông như thế này:Bảo vệ CSRF trong ứng dụng web
<form:form method="post" action="my.controller" enctype="multipart/form-data" id="form">
Tất cả những thứ làm việc tốt bởi thời gian chúng tôi đã cập nhật phiên bản apache của chúng tôi từ httpd-2.2.3
để httpd-2.2.15
.
Tôi đã googled một chút thời gian và thấy rằng vấn đề có thể liên quan đến thông số multipart/form-data trong biểu mẫu của tôi. Trong trường hợp này, biểu mẫu gửi không được bảo mật. Ngoài ra tôi đã phát hiện ra rằng mùa xuân có thể xử lý những thứ như trên qua MultipartFilter
từ mùa xuân doc http://docs.spring.io/spring-security/site/docs/3.2.0.CI-SNAPSHOT/reference/html/csrf.html#csrf-multipartfilter
Tôi mới trong CSRF thứ. Sẽ là tốt để biết whehter nó có thể sử dụng bảo vệ mùa xuân CSRF với apache cấu hình để xử lý các trường hợp như vậy.
Ngoài ra tôi đã tìm thấy cách giải quyết nơi tôi có thể vô hiệu hóa CSRF cho các URL cần thiết, như
RewriteRule /url/mycontroller.controller - [E = CSRF_IGNORE: yes]
Nhưng tôi không chắc chắn nó sẽ đúng ở đâu.
Tôi không chắc rằng tôi hiểu điểm của bạn về bộ lọc google. Vui lòng giải thích, theo cách nào đó, nó sẽ khắc phục vấn đề với tham số nhiều phần/biểu mẫu dữ liệu. Cảm ơn – fashuser