我们有一个在tomcat 6中运行的遗留Web应用程序(包含5个模块),并尝试与HDIV集成。用户将从module-1进行身份验证,为会话令牌创建cookie并使用过滤器通过使用来自应用程序缓存的cookie和身份验证信息验证用户来保护其他模块。
创建单独的hdiv-config.xml,并在相应的模块中通过web.xml配置。
在这种情况下如何配置起始页面网址?如果我们限制为登录页面,则其他模块无法访问。如果我们配置允许所有页面作为起始页面HDIV不包括_HDIV_STATE_ param以防止CSRF。
看起来每个模块都使用其赢得的HTTP会话。
我们希望保护所有模块免受跨站点请求伪造(CSRF)的影响,请提供相同的建议。
谢谢, 苏雷什
答案 0 :(得分:0)
每个模块都需要自己的HDIV配置。
仅在模块-1中将登录URL配置为起始页。
在其他模块中,仅将起始页面定义为用于从一个模块移动到另一个模块的URL。
HDIV可以保护模块内部网址(不会更改模块)。