我对网络安全非常陌生,我试图在我的网络应用上实施CSRF Gaurd。
我已经在我的Web应用程序上完成了所有必需的配置,并且当我执行ajax调用或加载html页面时,我可以看到令牌(FWJY-N767-M4HG-DHXT-WCE4-5J08-MV4G-LNV4)正在生成/注入。我注意到每个请求都有相同的令牌。
但是,我无法在服务器端验证令牌。根据我的研究,它应该转到CsrfGuardFilter.java类并验证令牌,但是当我调试时,我可以看到它不会进入CsrfGuardFilter.java类并且它不会根据令牌验证请求。我收到了不包含令牌的请求的响应。
有人可以指导我在我的网络应用程序上正确实施CSRF Guard。谢谢你的帮助。
答案 0 :(得分:0)
在我的网络应用程序中,我使用GWT在对各种论坛进行一些研究后生成前端JavaScript我已经发现由于GWT生成的JavaScript代码令牌没有被注入任何ajax电话。因此,要实现CSRF保护GWT代码,我需要在* .nocache.js脚本之前注入csrf保护脚本。