Gwt文档http://www.gwtproject.org/doc/latest/DevGuideSecurityRpcXsrf.html 以及GWT IN行动 https://manning-content.s3.amazonaws.com/download/d/07888ea-bada-44cc-9c55-ead15ea7fe85/GWT_sample-07.pdf 建议在客户端扩展XsrfProtectedService,在服务器端扩展XsrfProtectedServiceServlet ....
但这两种方法仍被标记为 "实验,可能会有变化。不要在生产代码中使用它。 "
是什么给出的?这是剩下的 - 或者它们现在可以安全地用于生产吗?
提前感谢您的帮助!
答案 0 :(得分:0)
该文件在7年内没有变化。谷歌在他们的代码中非常保守,并且在事实上已经准备就绪时会发出可怕的警告或标记为测试版。
也就是说,在所有安全问题中,您应该将代码提交给专业人员进行安全审核。此示例使用JSESSIONID的可预测散列,因此您需要确保正确配置JSESSIONID。它必须拥有一个域(并且应该有一个路径),因此它只能在您的域上,在被认为安全的URL上可读(再次,专业审查是好的)。如果这个cookie可以被泄露,攻击者就可以利用它。