CAS对CSRF攻击的保护

Question

一个基于Apache Struts的网站使用central authentication service (cas)登录。我想知道是否需要在Struts中提供额外的csrf保护，以防cas没有提供这种保护。

此外，当提交凭据时，cas将以URL形式生成令牌。如果我复制此URL并在以后使用它，则将对用户进行身份验证并重定向到主页。

由于我不是登录，而是使用令牌URL，为什么会发生这种情况？这是安全漏洞吗？

Answer 1

这是旧的但是must...get...internet...points..。

也许您只是指登录页面上的CSRF保护，但如果您的意思是一般情况下：

我仍然是CAS协议的新手，但我的理解是，验证发生的唯一时间是在服务应用程序本身有会话id之前。一旦生成，就不再需要与CAS服务器的联系，也不需要服务票证，因此CAS的ST无法保护您免受CSRF攻击。

请参阅：https://apereo.github.io/cas/4.2.x/protocol/CAS-Protocol.html

我想您提到的令牌是"ST“(服务票证)参数。再说一遍，这些东西是新的，但在我看来，你不应该不止一次地使用它，所以也许这是个错误，或者规范已经改变了：

https://apereo.github.io/cas/4.2.x/protocol/CAS-Protocol-Specification.html#311-service-ticket-properties

但是，如果仍然有会话cookie，则不需要ST，因此可能会产生这种行为。