Cross Site Request Forgery
Saludos,, tengo que certificar mi codigo y en uno de los errores me dicen que
tengo Cross-Site Request Forgery
y el error esta en esta linea
hasta donde eh podido encontrar el problema es el action="/encVal.do"
pero no se como solucionarlo,,,
alguien puede darme una pauta de donde empezar ???
- ramiro.rosales.z's blog
- Inicie sesión o regístrese para enviar comentarios
Hiddens prohibidos
Cabe señalar que no puedo enviar un token oculto en un hidden ya que los hiddens no son validos
js
La única otra opción si no puedes usar campos ocultos es que agregues el token a los datos que se van a enviar en el onSubmit de la forma, con javascript... o tal vez si el token lo pones en el submit de la forma?
El problema de ponerlo ahí es que el token viaja en el url.
token
Pero el token puede ser cualquiera ??
osea
el simple hecho de hacer lo siguiente
en el action
con el hecho de hacer esto ya valide la posible falsificacion?
o la cosa es mas compleja??
más complejo
El token debe ser generado de forma aleatoria y lo debes guardar del lado del server para compararlo cuando llega el submit.
Usar siempre el mismo token es lo mismo que no usar nada. Tal vez pase las validaciones del software con el que estás certificando tu aplicación pero tu aplicación sigue siendo insegura.
ESAPI
Existe un Jar que se llama ESAPI
eso me genera el TOKEN aleatorio
ahora segun yo, lo debo mandar a la jsp y recuperarlo en la siguiente peticion,, compararlo y ver si es el mismo...
jejejeje
me hace falta un poco de teoria y mucha mas practica para entenderle bien a esto del Cross-Site Request Forgery