20070116

OWASP CSRF Java EE filter

Link

I have not tested this out yet, so please test before you implement it.

I think it's a really good idea to implement [XC]SRF fixing at a filter level. If this works, it's really kind of a thing of beauty because it takes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 requirement for token generation and such out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 hands of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 developer. The downside is that now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 implementors will be required to apply cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 filter to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 right URI's - this won't work for everything.

The way it works is on responses, it finds any tags, and adds a hidden form element with a new token. The same token is stored in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 session. On requests, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a token in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 session, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 request eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r doesn't contain a token or it doesn't match cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 token in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 session, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 user is shown an error page. This works exactly cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same way as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Struts token system works, except in Struts it's up to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 developer to use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Token system when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y need it.

If I get some cycles to test this out, I'll let you know. The thing that's concerning is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re may be times that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 request doesn't get put togecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r by using a form (delete.do?id=1382, for example). You'll need to be careful about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 implementation uri.

0 comments: