Ottenere 403 errore quando si utilizza il filtro CSRF con Tomcat 6.0.32

Question

Questo è il mio config filer in web.xml

<filter> 
    <filter-name>CSRFPreventionFilter</filter-name> 
    <filter-class>org.apache.catalina.filters.CsrfPreventionFilter</filter-class> 
    <init-param> 
     <param-name>entryPoints</param-name> 
     <param-value>/login<param-value> 
    </init-param> 
</filter> 

<filter-mapping> 
    <filter-name>CSRFPreventionFilter</filter-name> 
    <url-pattern>/*</url-pattern> 
</filter-mapping> 
<filter> 

mi sto perdendo qualcosa? Sono delle code-modifiche necessarie per attivare la protezione CSRF in Tomcat

Answer 1

Nota che un è la risposta CSRFPreventionFilter se un nonce non è previsto e il filtro si aspetta uno.

non so lo stato attuale delle CSRFPreventionFilter, ma secondo this thread è necessario specificare ogni risorsa EntryPoint singolarmente (no caratteri jolly) - o hanno il filtro si applica a un percorso che non include /login

Quindi:

<filter> 
<filter-name>CSRFPreventionFilter</filter-name> 
<filter-class>org.apache.catalina.filters.CsrfPreventionFilter</filter-class> 
<init-param> 
    <param-name>entryPoints</param-name> 
    <param-value>/login/login.html,/login/image.png,/login/style.css</param-value> 
</init-param> 
</filter> 

Oppure:

<filter-mapping> 
<filter-name>CSRFPreventionFilter</filter-name> 
<url-pattern>/csrf/*</url-pattern> 
</filter-mapping> 

Aggiornamento dicembre 2012:

Tomcat 7.0.32 corregge una vulnerabilità di sicurezza in CSRFPreventionFilter