Множественный токен, введенный в форму

Question

В моем приложении Java Strut я использую библиотеку OWASP версии 3.1 для защиты от CSRF. Из-за сложной структуры heppens, что у меня есть несколько тегов скриптов. Он добавляется на нескольких страницах, а иногда на одной странице есть другой.

<script src="<%=request.getContextPath()%>/JavaScriptServlet"></script> 

У меня проблема в Internet Explorer, когда на той же странице существует этот тег. Если он exsists, то он добавляет несколько токенов в форму. Я вижу это, когда проверяют страницу на Internet Explorer

<FORM method=post name=myForm action=/myAction.do?OWASP_CSRFTOKEN=54AE-VJT1-2OZM-4CZV-LMQI-CUEV-BGL1-EQRI&amp;OWASP_CSRFTOKEN=54AE-VJT1-2OZM-4CZV-LMQI-CUEV-BGL1-EQRI&amp;OWASP_CSRFTOKEN=54AE-VJT1-2OZM-4CZV-LMQI-CUEV-BGL1-EQRI&amp;> 

Также добавить множественный ввод с токена

<INPUT type=hidden value=54AE-VJT1-2OZM-4CZV-LMQI-CUEV-BGL1-EQRI> 
<INPUT type=hidden value=54AE-VJT1-2OZM-4CZV-LMQI-CUEV-BGL1-EQRI> 
<INPUT type=hidden value=54AE-VJT1-2OZM-4CZV-LMQI-CUEV-BGL1-EQRI> 

ли somebady была аналогичная проблема?

Answer 1

Поскольку все жетоны одинаковы, не должно быть никаких проблем с тем, как работают эти страницы. Тебе все должно быть хорошо.

Единственный способ консолидации - дать сценарию идентификатор и проверить, присутствует ли он, прежде чем объявлять его снова.

В качестве альтернативы вы можете реорганизовать все свои JSP, чтобы в каждом случае какой-либо «базовый» jsp обеспечивал его вставку только один раз.

Если вы не видите столкновения токенов (отклоненные журналы из CSRFGuard), вам не о чем беспокоиться.