我在grails 2.2.1上工作。我已经通过很多关于CSRF的链接来实现我的项目。
Grails - Is there a recommended way of dealing with CSRF attacks in AJAX forms?
http://www.redtoad.ca/ataylor/2011/01/grails-cross-site-request-forgeries-csrf/
以上是我经历的许多链接中的一小部分。
现在,回到我的问题。我不想使用" withform"或" .invalidtoken"。
我想使用已存在的RequestHeaderFilter.groovy文件。我想使用请求标头来验证原始标头。
请在下面找到代码段。
class ResponseHeaderFilters {
def filters = {
all(controller: '*', action: '*') {
before = {
def serverURL = grailsApplication.config.grails.serverURL ?: "http://localhost"
//this could/should be improved upon if serverURL is not set in one of our config files
//def OriginPrefix = serverURL.replace("http", "https")
def requestOrigin = request.getHeader('Origin')
if (request.getHeader('X-Requested-With')?.equals('XMLHttpRequest')) {
if (requestOrigin && requestOrigin == serverURL) {
response.setHeader('Expires', '-1')
response.setHeader('Cache-Control', 'no-cache')
response.addHeader('Cache-Control', 'no-store')
response.setHeader('X-UA-Compatible', 'IE=edge')
} else {
return false
}
}
}
}
addNoCachingHeaders(uri: '/**') {
after = {
response.setHeader('Expires', '-1')
response.addHeader('Cache-Control', 'no-cache')
response.addHeader('Cache-Control', 'no-store')
response.setHeader('X-UA-Compatible', 'IE=edge')
}
}
}
}
这段代码没有按预期工作。当我点击任何内容时,UI中的页面变为空白。 最后我检查了" Origin"即将到来。 有人可以帮我解决这个问题吗?
答案 0 :(得分:-1)
在Grails 3.x中,您需要使用Interceptor而不是Filter,但功能是相同的。
class ResponseHeaderInterceptor {
boolean before() { true }
boolean after() { true }
void afterView() {
// no-op
}
}
我会将实施工作留给您,但请查看文档以获取更多信息:http://docs.grails.org/latest/guide/theWebLayer.html#interceptors