7
我在尋找可能的解決方案來保護我的GWT應用程序免受XSRF攻擊。GWT&XSRF保護
如果我正確理解GWT's solution - 它提供了一個Servlet,用於在客戶端(在調用RPC端點時)生成令牌並在服務器端驗證(當呼叫遇到您的服務時)。
此解決方案是否僅適用於RPC調用?當然,我們需要它來覆蓋所有用戶對服務器生成的請求?
任何其他推薦的XSRF解決方案(我也在看OWASP's CSRFGuard)?
A
回答
5
我修改了GWT示例應用程序以防XSRF。該解決方案大致基於GWT開發人員文檔中提供的解決方案。 http://code.google.com/p/xsrf-safe/
+0
我看着你的解決方案,我在流浪,你在哪裏創建和處理客戶端的cookie?因爲我不使用谷歌應用程序,我怎樣才能使用cookie JSESSIONID,它沒有價值,你在哪裏設置了cookie的價值,以及如何處理cookie ......你能解釋一下這個,或者指向我的鏈接? tnx – Darwly 2012-06-20 13:21:38
+0
「JSESSIONID cookie是在會話創建時創建/發送的,當您的代碼第一次調用request.getSession()或request.getSession(true)時,將創建Session。」 -http://stackoverflow.com/questions/595872/under-what-conditions-is-a-jsessionid-created – 2012-06-20 14:09:51
+0
在示例中,request.getSession()在Xsrf_Safe.jsp中調用http://code.google.com /p/xsrf-safe/source/browse/trunk/war/Xsrf_Safe.jsp – 2012-06-20 14:11:55
相關問題
- 1. GWT RPC XSRF保護
- 2. angular4 angular2 - XSRF保護
- 3. Tornado的XSRF保護
- 4. XSRF保護GET .net mvc
- 5. 令牌認證和XSRF/XSS保護
- 6. Spring Security和AngularJS的CSRF/XSRF保護
- 7. 用X-XSRF-TOKEN(like angularjs)頭文件重新確保CSRF保護
- 8. 如何在Web應用程序中設置XSRF保護?
- 9. 如何使用HTTPOnly Cookies來保護JWT免受XSRF攻擊?
- 10. 如何使用Azure Web應用程序的XSRF保護
- 11. 這些XSRF保護措施是否也適用於RequestFactory?
- 12. AJAX風格的XSRF保護應用程序
- 13. 用Spring安全保護GWT servlet
- 14. 在AppEngine上保護GWT應用程序
- 15. GWT Upload on Google Appengine - 跨站點保護
- 16. 往返轉義的所有字符串與XSRF保護服務器端通信
- 17. 從appengine blob存儲服務GWT排列 - XSRF沒有找到
- 18. Angular 4.3 XSRF HttpClientModule
- 19. XSRF-TOKEN in Angular
- 20. CORS和CSRF(XSRF)
- 21. 保護部署的Roo/GWT應用程序
- 22. GWT - 受認證保護的管理模塊?
- 23. 保護與保護者的關聯
- 24. IDataProtector保護和取消保護方法
- 25. 保護/取消保護圖表
- 26. 保護數據保護密碼
- 27. 保護/取消保護Word文檔
- 28. 保護節點+ Postgres +護照
- 29. 保護Webmethods
- 30. 盜鏈保護
除了GWT RPC之外,您還使用了哪些類型的用戶生成請求? – 2011-06-12 03:17:52
我們有一些servlet,Jack Rabbit存儲庫等,用戶可以爲其生成請求。 – 2011-06-14 18:22:06