我正在尝试为我的Web应用程序实现Tomcats CSRF保护过滤器,其中用户存储在MySQL数据库中,并且由于我的控制器被写入以转发所有请求,我已将过滤器映射编辑为
<filter-mapping>
<filter-name>
CSRFPreventionFilter
</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
<dispatcher>FORWARD</dispatcher>
</filter-mapping>
但是,根据OWASP建议,当用户登录然后创建一个新会话时,我也会使用户会话无效。
这导致过滤器启动,我得到一个 403。
我环顾四周,但找不到让过滤器使用此策略的方法。
那么我应该放弃过滤器还是使会话无效?
解决方法是为成功登录定义一个附加页面