Question

我一直试图让XSRF在webapp上工作无济于事。我正在查看典型的登录实现。

我关注Google's code。我将我的web.xml更改为包括：

<servlet>
    <servlet-name>xsrf</servlet-name>
    <servlet-class>com.google.gwt.user.server.rpc.XsrfTokenServiceServlet</servlet-class>
</servlet>
<servlet-mapping>
    <servlet-name>xsrf</servlet-name>
    <url-pattern>/gwt/xsrf</url-pattern>
</servlet-mapping>

<context-param>
    <param-name>gwt.xsrf.session_cookie_name</param-name>
    <param-value>JSESSIONID</param-value>
</context-param>

并在我的登录服务的服务器Impl文件上扩展XsrfProtectedServiceServlet。据我了解，服务器上不需要进行其他更改。我是否需要添加其他内容，例如在此处返回RpcToken的方法（以及我正在实现的界面中）？

在客户端，我使用注释。

@XsrfProtect
@RemoteServiceRelativePath("login")
public interface LoginService extends RemoteService {
    String check(String user, String pass) throws IllegalArgumentExceptionhere;
}

这可能是我遗失的地方。 Google在提示中说：Tip: To specify which RpcToken implementation GWT should generate serializers for use @RpcTokenImplementation annotation.不确定这意味着什么，或者我是否需要另一种方法来返回RpcToken。

我的异步界面是这样的：

public interface LoginServiceAsync {
    //Returns the Session ID
    void check(String user, String pass, AsyncCallback<String> callback);
}

然后，对于我的实际RPC调用，我将代码包装在xsrf令牌请求周围。我使用与谷歌相同的代码：

XsrfTokenServiceAsync xsrf = (XsrfTokenServiceAsync)GWT.create(XsrfTokenService.class);
((ServiceDefTarget)xsrf).setServiceEntryPoint(GWT.getModuleBaseURL() + "xsrf");
xsrf.getNewXsrfToken(new AsyncCallback<XsrfToken>() {

    public void onSuccess(XsrfToken token) {
        LoginServiceAsync rpc = (LoginServiceAsync)GWT.create(LoginService.class);
        ((HasRpcToken) rpc).setRpcToken(token);

        // make XSRF protected RPC call
        rpc.check(user, pass, new AsyncCallback<String>() {
            // ...
        });
    }

    public void onFailure(Throwable caught) {
        try {
             throw caught;
        } catch (RpcTokenException e) {
        // Can be thrown for several reasons:
        //   - duplicate session cookie, which may be a sign of a cookie
        //     overwrite attack
        //   - XSRF token cannot be generated because session cookie isn't
        //     present
        } catch (Throwable e) {
        // unexpected
    }
});

抱怨是我对getNewXsrfToken的调用失败，因为它不知道来自此调用的xsrf位置：GWT.getModuleBaseURL() + "xsrf"。我感觉有一个令牌握手丢失导致这个错误，但我不确定。

最后，我也尝试实现Nick Siderakis' code，但他的示例使用了一个JSP页面，询问服务器：XsrfTokenUtil.getToken(request.getSession().getId())。我不想使用JSP页面，我还没有想出如何在没有jsp页面的情况下执行此操作。他的代码也偏离了Google代码示例（即他没有调用getNewXsrfToken），我不知道它是否是“首选”谷歌处理XSRF的方式。

关于我缺少什么的任何想法？感谢。

修改

以下解决方案......

Answer 1

好的，我发现了问题。我不得不在上面的代码中将GWT.getModuleBaseURL（）+“xsrf”更改为“gwt / xsrf”，因为它没有指向正确的位置，正如我怀疑的那样。另外，服务器找不到JSESSIONID cookie，所以我跟着this并添加了Cookies.setCookie（“JSESSIONID”，“JSESSIONID”，null，null，“/”，false）;在我的onModuleLoad（）中。这样做了。欢呼声。

GWT（2.4.0）+ XSRF

1 个答案: