标签: java ajax struts-1 csrf-protection
我的应用程序在90%的时间使用Ajax调用获取后端数据。我需要为所有这些调用实施CSRF预防。所以我需要在每次调用时传递令牌。我在哪里生成令牌?在客户端或服务器端?如果我在JavaScript中创建令牌,我如何在java中验证相同的?或者有更好的方法吗? 我正在使用原型js进行Ajax调用和java struts 1.3后端
我尝试使用struts标记,但由于没有与struts操作相关的表单,因此无法使用。
答案 0 :(得分:0)
请参阅OWASP CSRF Reference这将澄清您的所有疑虑