我是vaadin的新手,我想实现csrf令牌保护,我发现vaadin已经在请求中注入了csrf令牌,但问题是csrf令牌在每个请求中都是相同的,他们在vaadin中的任何配置是否在每个请求中生成新令牌? 或者他们有什么方法可以强制 Vaadin 在创建新会话时重新生成 CSRF 令牌?
我使用以下代码来解决会话固定漏洞,但问题是csrf令牌与以前的会话令牌相同;因为reinitializeSession方法使用新的jsessionID创建具有相同内容的新会话
VaadinService.reinitializeSession()
当前有一个拉取请求打开以添加此类功能:https://github.com/vaadin/framework/pull/10953。