我对此有几个问题:
- 一般来说,XSRF仍然是最新浏览器的问题吗?据我所知,默认情况下已禁用跨域请求,现在通过CORS控制。当人们使用过时的浏览器时,可能存在很多安全漏洞,XSRF无论如何都无关紧要。顺便说一下,XsrfTokenServlet类仍然标记为非生产,因此GWT开发人员似乎认为它不是一个重要问题,或者不相信他们自己的实现。
- 其次,GWT使用servlet创建XSRF令牌。这不是通过返回(散列)JSESSIONID引入明显的攻击向量吗?我认为你完全是因为攻击者不知道JSESSIONID而只是让你的浏览器将它与请求一起发送,所以你做XSRF。现在该请求返回了它可以用来假装他知道JSESSIONID的关键哈希值。我在这里弄错了什么? JSESSIONID不应该独立于服务器在客户端进行散列,以证明客户端实际上可以读取JSESSIONID cookie,这是从从不同站点加载的页面调用站点时不可能的吗?