He implementado la biblioteca OWASP CSRFGuard para proteger mi aplicación contra los ataques CSRF. Estoy utilizando el archivo y el servlet de JavaScript CSRFGuard para inyectar tokens CSRF en todas las solicitudes Ajax. Hasta ahora estoy viendo que el token se está agregando correctamente a todas las solicitudes.
¿Mi pregunta es cómo validar que este token es válido y reconocido por la biblioteca en el lado del servidor? Puedo enviar el token al servidor, pero no tengo nada con qué comparar. Mi preocupación es que un atacante podría inyectar cualquier valor y la aplicación no sabría si esto es válido o no.
He eliminado y alterado este token de las solicitudes y he notado que el filtro no las rechaza, por lo que asumo que la validación de este token es algo que debo implementar en mi servlet, ¿verdad? ¿Pero cómo? He examinado las clases de CSRFGuard pero no he encontrado ninguna que almacene el token generado por el servlet de JavaScript.