GWT& CSRF Guard - 是否可以在GWT代码上实施CSRF Guard?

时间:2014-12-09 11:16:23

标签: java gwt csrf-protection

我有一个Web应用程序,其中前端是用GWT编写的。现在我想在同一个Web应用程序上实现CSRF Guard。

所以我想知道在GWT代码上实现CSRF Guard是可能的,因为当我尝试实现它时,CSRF后卫的令牌不会被注入任何对服务器的请求。我能够看到来自服务器的响应,但令牌没有被注入,CSRF后卫无法正常工作。

有人可以帮我吗?感谢。

2 个答案:

答案 0 :(得分:0)

恕我直言,可以通过

模仿
  1. 在服务器端为每个会话创建唯一编号。
  2. 在入口点从RPC控制器方法getCRSFId获取它。
  3. on onSuccess恢复初始化应用程序。
  4. 在所有其他方法中,使用getCRSFId的结果作为第一个参数并检查它。

答案 1 :(得分:0)

我在groups.goole.com上发布了相同的问题以获得答案。所以我想在这里讨论讨论点。

  1. 你可能会让CSRF Guard工作,但使用GWT的内置保护更容易
  2. 如果您使用的是GWTP,那么您应该使用GWTP's CSRF protection
  3. 如果你在GWT代码上使用CSRF保护,那么我唯一可以建议的是在* .nocache.js脚本之前注入csrf保护脚本。

    4. 这一点可能有助于某人。

    Soucre Link

相关问题
最新问题