Cross Site Request Forgery

Saludos,, tengo que certificar mi codigo y en uno de los errores me dicen que

tengo Cross-Site Request Forgery

y el error esta en esta linea

 

hasta donde eh podido encontrar el problema es el action="/encVal.do"

pero no se como solucionarlo,,,
alguien puede darme una pauta de donde empezar ???

Opciones de visualización de comentarios

Seleccione la forma que prefiera para mostrar los comentarios y haga clic en «Guardar las opciones» para activar los cambios.

Hiddens prohibidos

Cabe señalar que no puedo enviar un token oculto en un hidden ya que los hiddens no son validos

Imagen de ezamudio

js

La única otra opción si no puedes usar campos ocultos es que agregues el token a los datos que se van a enviar en el onSubmit de la forma, con javascript... o tal vez si el token lo pones en el submit de la forma?

 

El problema de ponerlo ahí es que el token viaja en el url.

token

Pero el token puede ser cualquiera ??

osea
el simple hecho de hacer lo siguiente

 

en el action

 

con el hecho de hacer esto ya valide la posible falsificacion?
o la cosa es mas compleja??

Imagen de ezamudio

más complejo

El token debe ser generado de forma aleatoria y lo debes guardar del lado del server para compararlo cuando llega el submit.

Usar siempre el mismo token es lo mismo que no usar nada. Tal vez pase las validaciones del software con el que estás certificando tu aplicación pero tu aplicación sigue siendo insegura.

ESAPI

Existe un Jar que se llama ESAPI

 
eso me genera el TOKEN aleatorio

ahora segun yo, lo debo mandar a la jsp y recuperarlo en la siguiente peticion,, compararlo y ver si es el mismo...

jejejeje

me hace falta un poco de teoria y mucha mas practica para entenderle bien a esto del Cross-Site Request Forgery