WSO2 Identity Server 5.2.0のドキュメントでは、CSRF攻撃を緩和する方法として、CSRFフィルタまたはCSRFバルブの使用方法について説明しています。WSO2 IS 5.2.0 Documentationを参照してください。 この設定は、IS 5.1.0のcarbon.xmlで利用できましたが、IS 5.2.0にはありません。WSO2 IS 5.2.0 CSRF CSRFGuardおよび/またはCSRF Filter/Valveによる保護?
代わりに、IS 5.2.0は、WSO2 Carbon Documentationで説明されているように、OWASP CSRF Guardを使用しています。
私の質問です:私は両方の保護メカニズムを有効にするか、CSRF Guardで十分ですか?
アドオンに関する質問:CRLFPreventionConfigも5.2.0で姿を消しました。これはまだ必要なので、carbon.xmlファイルに追加する必要がありますか?
WSO2 IS 5.2.0(または正確には、WSO2 Carbon Kernel 4.4.6+ベースの製品)は、OWASP CSRFGuardに基づく統一CSRF防止メカニズムを使用しています。
したがって、デフォルトでCSRF保護が有効になっているため、IS 5.2.0のドキュメントでCSRF防止について必ずしも言及する必要はありません。最新の製品ドキュメントを通じてこの問題を修正するために作成された問題追跡ツールのチケット「DOCUMENTATION-4043」を参照してください。
結論として、WSO2 Identity Server 5.2.0ではOWASP CSRFGuardで十分であり、フィルタやバルブを有効にする必要はなくなりました。
CRLF防止は、デフォルトでTomcatレベルから利用できます。したがって、この構成は製品構成から削除されました。 Carbon Kernelの文書から削除されたにもかかわらず、関連するページはまだいくつかの製品の文書で利用可能であるようです。最新の製品ドキュメントを通じてこの問題を解決するために作成された問題追跡ツールのチケット「DOCUMENTATION-4044」を参照してください。