最近公司的機房需要進行二級等保的複評,其中涉及到應用的漏洞掃描一項,使用的是wvs9.0進行web應用漏洞掃描,高危漏洞沒有,中級漏洞掃出來不少,雖然二級等保不要求進行修復,但出於資訊保安的原則也進行了一次全面的修復,其中涉及到一中Csrf漏洞,也在網上稍微學習了一下,多餘的就不說了,我是使用了Owasp.CsrfGuard這個開源專案來對漏洞進行了修復,下面稍微展開說一下.
首先在eclipse中使用git把CsrfGuard專案引入到git repositories庫中,跟svn差不多,來:https://github.com/aramrami/OWASP-CSRFGuard.git
![引入後圖片](https://img-blog.csdn.net/20161025105343950)
然後eclipse中用maven把專案import進來. Import->Maven->Existing Maven Projects,選擇剛才的git庫本地路徑.建議把csrfguard和csrfguard-test也引進來.
csrfguard-test作為demo專案來進行學習.然後結合
https://www.owasp.org/index.php/CSRFGuard_3_Configuration#Unprotected_Pages
裡面提及的配置對自己的專案進行配置.
 

主要是配置web.xml和Owasp.CsrfGuard.overlay.properties檔案
Owasp.CsrfGuard.properties檔案可直接複製test專案中來進行使用.
web.xml主要配置csrfguard切入的方式,使用java和js兩種方式,官方例子是兩種也同時進行.
Owasp.CsrfGuard.overlay.properties檔案中主要配置了一些檔案路徑的排除,比如圖片,css,js等靜態資源,否則會造成專案訪問不正常的現象,還要根據實際進行測試,進一步調整配置檔案,
org.owasp.csrfguard.JavascriptServlet.refererPattern =

http://localhost:8082.*
非保護列表主要有三種寫法,比如檔案字尾(正則匹配)
org.owasp.csrfguard.unprotected.Css=*.css
org.owasp.csrfguard.unprotected.Js=*.js
org.owasp.csrfguard.unprotected.Jpg=*.jpg
org.owasp.csrfguard.unprotected.Png=*.png
全路徑匹配
org.owasp.csrfguard.unprotected.Default=%servletContext%/
org.owasp.csrfguard.unprotected.Upload=%servletContext%/upload.html
org.owasp.csrfguard.unprotected.JavaScriptServlet=%servletContext%/JavaScriptServlet

路徑擴充套件
org.owasp.csrfguard.unprotected.Web=%servletContext%/web/*

還有一個小地方注意的是,
官方例子專案tag.jsp中,
” value=””/>
和 這兩個標籤有點小問題,
按照tld檔案裡的寫法,應該是 和
基本看csrfguard-test例項專案就能應用了,深入瞭解的話,還是需要看官方文件和原始碼專案.