웹 응용 프로그램의 CSRF 보호

Question

나는 아파치 모듈이 제공하는 CSRF 보호을 가진 응용 프로그램을 가지고 있습니다. 내 응용 프로그램이 일부 파일을 업로드 할 수 있도록 몇 페이지를이 (가) 포함, 다음과 같습니다

<form:form method="post" action="my.controller" enctype="multipart/form-data" id="form"> 

모든 물건 httpd-2.2.15에 httpd-2.2.3에서 우리는 우리의 아파치 버전을 업데이트 한 시간 괜찮 았는데.

나는 약간의 시간을 봤는데, 그 문제는 multipart/form-data 매개 변수와 관련 될 수 있음을 알게되었습니다. 이 경우 양식이 보안되지 않음으로 전송됩니다. 또한 나는 봄 봄 문서 http://docs.spring.io/spring-security/site/docs/3.2.0.CI-SNAPSHOT/reference/html/csrf.html#csrf-multipartfilter

나는 CSRF 물건에 새로운 오전부터 MultipartFilter를 통해 위와 같이 물건을 처리 할 수있는 것으로 나타났습니다. Whehter를 알면 좋다. 스프링 CSRF 보호과 apache 구성을 사용할 수있다. 내가

한다 RewriteRule의 /url/mycontroller.controller처럼, 필요한 URL에 대한 CSRF를 사용하지 않도록 설정할 수 있습니다

또한 내가 찾은 해결 방법 - [E = CSRF_IGNORE : 예]

그러나 내가 확실하지 않습니다 wherer 올바른 것입니다.

Answer 1

에 따라 내가 가지고있는 제안은 다음과 같습니다 : 다중/폼 데이터가 CSRF 가드를 포함하여 CSRF 라이브러리의 일부가 지원되지 않기 때문에 필요하지 않은 경우

는 PHP 버전을 제거하십시오.

hidden 속성을 사용하여 CSRF 토큰을 설정하려면 action 속성에 토큰을 추가하십시오. 여기에 링크 : https://code.google.com/p/csrf-filter/

같은 문제가 계속되는 경우 URL을 CSRF 확인에서 제외해야 할 수 있습니다.