0
저는 스프링 보안에 익숙하지 않습니다. 튜토리얼을 통해 메모리 인증 및 CSRF 토큰을 설정할 수 있습니다. 이것은 잘 작동합니다. 사용자가 인증되고 토큰이 생성됩니다.스프링 보안 3.2 CSRF 토큰 - 포스트 매개 변수가 POST 요청을 가로 채서 수정되었을 때 어떻게 보호해야합니까?
문제점 : 피들러를 사용하여 양식 게시를 가로 채고 POST 매개 변수를 수정하고 HTTP POST 요청을 실행하면 200 OK 코드로 요청을 성공적으로 제출합니다. 나는 그러한 시나리오에서 403을 기대하고있다.
이 문제를 해결하는 방법 중 하나는 세션 당 요청 대신 토큰을 생성하는 것입니다. 그러나이 접근법은 자체 문제입니다.
그런 시나리오를 방지하는 더 나은 방법을 제안 해 주시겠습니까? 또한 위 시나리오에서는 세션 고정 공격을 보여주지 않습니까?
안부,