GWTP Защита от XSRF-атак

Я разрабатываю веб-приложение с GWT и GWTP. Я просматриваю вики-страницу GWTP и защищаюсь от XSRF-атак. следуйте инструкции. В режиме Dev работает нормально.

Теперь я развернул его на сервере Tomcat. Но в консоли он продолжает сообщать мне, что куки не отправлены клиентом в RPC. И в результате ни один RPC-вызов не может быть выполнен, так как это считается XSRF-атакой.

Может ли кто-нибудь сказать мне, что с ним не так? Это из-за настройки Tomcat, так как приложение работает нормально в режиме разработки.


tomcat gwt gwt-platform
person John    schedule 10.01.2012    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Я думаю, что это не от GWTP, это что-то связанное с вашим Tomcat

Файлы cookie сеанса и SSO в Tomcat 7 по умолчанию отправляются с флагом HttpOnly, чтобы указать браузерам запретить доступ к этим файлам cookie из JavaScript. (Это можно включить в Tomcat 6.0 и 5.5, установив useHttpOnly="true" для элемента Context в веб-приложении или в глобальном файле CATALINA_BASE/conf/context.xml). http://tomcat.apache.org/migration.html#Session_cookie_configuration

Итак, проверьте свой context.xml, есть ли что-то вроде этого:

  <Context cookies="true" useHttpOnly="false" >
    <WatchedResource>WEB-INF/web.xml</WatchedResource>
    </Context>

Следует ли устанавливать флаг HttpOnly для файлов cookie сеанса, чтобы клиентский сценарий не мог получить доступ к идентификатору сеанса? По умолчанию истинно.

Подробнее об атрибутах контекста

person Õzbek    schedule 10.01.2012