1. ev
  2. Soru-cevap
  3. GWT & XSRF Koruma

GWT & XSRF Koruma

2011-06-06 23 views
7

GWT uygulamamı XSRF'ye karşı korumak için olası çözümlere bakıyorum.GWT & XSRF Koruma

GWT's solution dosyasını doğru bir şekilde anlarsam - istemci tarafında (RPC bitiş noktanızı çağırırken) hem belirteci oluşturmak hem de sunucu tarafındaki doğrulamak için kullandığınız bir Servlet'i (çağrı, hizmetinize eriştiğinde) kullanıma sunar).

Bu çözüm yalnızca RPC çağrıları için uygun mu? Şüphesiz, tüm kullanıcı tarafından oluşturulan istekleri sunucuya dahil etmemiz gerekiyor mu?

Tavsiye edilen diğer XSRF çözümleri (Ben de OWASP's CSRFGuard'a bakıyorum)?

kaynak

2011-06-06 Markus Coetzee

+0

GWT RPC dışında ne tür kullanıcı tarafından oluşturulan istekleri kullanıyorsunuz? –

+0

Kullanıcının istekte bulunabileceği bazı sunucu, Jack Rabbit deposu vb. Var. –

cevap

5

XSRF'ye karşı korunacak GWT Örnek Uygulamasını değiştirdim. Bu çözüm, GWT geliştirici dokümanlarında sağlanan çözümden kaynaklanmaktadır. http://code.google.com/p/xsrf-safe/

kaynak

2011-06-12 03:17:05

+0

Çözümünüze baktım, neyim dolaşıyorum, müşteriye çerezleri nerede yaratıyorsunuz? Google uygulamalarını kullanmadığım için, değeri olmayan, çerezin değerini ayarlayan çerezin JSESSIONID'sini nasıl kullanabilirim ve bunu nasıl kurabilirim ... bunu açıklayabilir misiniz? beni bir bağlantıya yönlendir? tnx – Darwly

+0

"Oturum oluşturulduğunda JSESSIONID çerezi oluşturulur/gönderilir. Kodunuz request.getSession() veya request.getSession (true) ilk defa çağrıldığında oluşturulur." -http: //stackoverflow.com/questions/595872/under-what-conditions-is-a-jsessionid-created –

+0

Örnek request.getSession(), Xsrf_Safe.jsp http://code.google.com adresinde çağrılır. /p/xsrf-safe/source/browse/trunk/war/Xsrf_Safe.jsp –

İlgili konular

 İlgili konular