誰在呼叫我的HttpServletRequest？

Question

我有一個jsp包含一個jquery post到我的tomcat服務器上的一個servlet，它創建了一個HttpServletRequest。我想確保只有我的jsp對我的servlet的調用被處理，並且任何來自非jsp的源的請求都被忽略。 是否有保證的方式來查看調用我的服務器的引用頁面是什麼？我讀過使用request.getHeader("referer")可以欺騙，所以我知道我不能依靠這一點。

Answer 1

生成一個唯一的字符串作爲標記，將其存儲在會話中，並將其作爲隱藏的輸入值嵌入到JSP的POST表單中，最後在標記有效的情況下檢查servlet。

基本上：

在創建會話（在HttpSessionListener#sessionCreated()，例如）：

Set<String> tokens = new HashSet<String>(); 
event.getSession().setAttribute("tokens", tokens); 

在JSP請求的預處理（在HttpServlet#doGet()，例如）：

String token = UUID.randomUUID().toString(); 
Set<String> tokens = (Set<String>) request.getSession().getAttribute("tokens"); 
tokens.add(token); 
request.setAttribute("token", token); 

在處理JSP本身：

<input type="hidden" name="token" value="${token}" /> 

在窗體的後處理提交（以HttpServlet#doPost()爲例）：

String token = request.getParameter("token"); 
Set<String> tokens = (Set<String>) request.getSession().getAttribute("tokens"); 

if (!tokens.remove(token)) { 
    response.sendError(HttpServletResponse.SC_BAD_REQUEST); 
    return; 
} 

// ...  

當然我假設你jQuery.post()函數都寫在一個不顯眼的方式爲$.post(form.action, form.serialize(), callback)，這樣它模擬完全正常同步請求（換句話說，你的表單在JS禁用的情況下工作得很好）。

Answer 2

您可以將安全令牌呈現給您的JSP，並將其包含在您可以驗證它的Servlet的Ajax調用中。這也不能保證Ajax調用是使用瀏覽器和Javascript完成的，但它至少需要有人在進行調用之前從JSP獲取安全令牌。

建議使用類似的概念來減輕CSRF。

Answer 3

您可以爲您的jsp創建一個隨機cookie，然後將其附加到您的POST表單，並只接受具有正確cookie值的請求。

Answer 4

只是一些語義。請求通常從顯示您的JSP的瀏覽器創建。您不能阻止另一個程序請求您的JSP，並使用您提供的任何信息再次請求。

您可以停止在用戶瀏覽器中查看的另一個網頁執行對您網站的請求。這被稱爲Cross-site request forgery。您可以緩解這種情況。

因此，根據您要阻止的內容，CSRF解決方案可能適合您。您可以從Web服務器中找到預製解決方案。例如，這裏是Tomcat's