Strutsの同期トークン

二重送信を防いでくれる同期トークン。いろいろ議論はあるがCSRF対策にもなるだろう。
お手軽にできるのだが、タブブラウザ全盛時代には使用上の注意がある。
同期トークンの仕組みはHIDDENの値とセッションの値が同一であることを比較する。
つまりセッションに入った値が空もしくは別のトークンであればエラーとなる。
ここに問題があり、同一セッションを持つブラウザで別のトークンを発行した時点で、以前発行されたトークンはセッションから追い出されて処理が継続できない。
これが作られた時点ではあまり問題にならなかったのだろうけど、今はタブブラウザ全盛だからな。
改良の余地あり。

カテゴリー: Java パーマリンク

コメントを残す

メールアドレスが公開されることはありません。

Time limit is exhausted. Please reload the CAPTCHA.