¿Problemas de navegación del botón Atrás debido al token CSRF?

2

Tengo una aplicación web heredada y necesito protegerla de CSRF. Intenté resolver el problema sin comprometer la funcionalidad de la aplicación, pero tuve problemas relacionados con la navegación.

¿La generación de token y su almacenamiento en el formulario y la sesión pueden evitar los problemas relacionados con el botón de retroceso del navegador?

Digamos que he enviado el primer formulario en '' test1.jsp y el segundo en test2.jsp. En este punto, si intento navegar hacia atrás con el botón de retroceso del navegador y moverme a test1.jsp y enviar el formulario, se generará un error, ya que el valor del token de la página en caché y en la sesión será diferente. Intenté evitar el almacenamiento en caché utilizando encabezados de respuesta y cargar los datos del servidor en el botón Atrás, pero la aplicación se rompe en este punto. Mi aplicación utiliza el marco de Struts y traté de usar el método de token de puntales pero eso no ayudó a superar el botón Atrás cuestiones.

¿Hay alguna manera de superar este problema del botón de retroceso del navegador usando tokens?

    
pregunta Girish 26.03.2016 - 18:13
fuente

1 respuesta

3

No es necesario crear un token nuevo con cada solicitud. En su lugar, según la OWASP CSRF Cheat Sheet , cree un token para cada sesión. Como la misma sesión se usa tanto para test1.jsp como para test.jsp , el botón Atrás ya no será un problema.

    
respondido por el Neil Smithline 26.03.2016 - 18:22
fuente

Lea otras preguntas en las etiquetas