GWT SSL + Jetty +同源政策=混乱

时间:2012-02-22 17:03:14

标签: gwt same-origin-policy embedded-jetty

我正在使用GWT并希望在一个html页面(模块)上启用SSL。我有多个模块,并且在我的web.xml中使用以下配置保护了一个这样的模块

<security-constraint>
  <web-resource-collection>
    <web-resource-name></web-resource-name>
    <url-pattern>/Secure.html</url-pattern>
    <http-method>GET</http-method>
  </web-resource-collection>
  <user-data-constraint>
      <transport-guarantee>CONFIDENTIAL</transport-guarantee>
  </user-data-constraint>
</security-constraint>

我有另一个模块(登录页面),我从中调用Secure.html通过SSL传递用户的登录信息。我有以下问题:

  1. 我是否通过从http(非安全登录页面)调用Secure.html模块来违反相同的原始政策?
  2. 如何在嵌入式码头中添加SSL连接器?我正在使用GWT eclipse插件。我讨厌它。当我尝试访问安全的Secure.html页面时,我在开发模式下被禁止403。我不想对我的所有模块使用SSL(-server :ssl)。但是,如果我在外部服务器tomcat上部署应用程序,它可以正常工作。
  3. 我做得对吗?必须比这更好的方法吗?

1 个答案:

答案 0 :(得分:1)

1)您通过更改协议肯定违反了same-origin policy

2)您不需要拥有嵌入式Jetty的连接器......您所看到的(和应该)与您通过HTTPS看到的相同。 SSL是将您的内容置于安全服务器之后的问题。 IMO这是一个生产问题,而不是发展问题。

相关问题
最新问题