Question

Я занимаюсь разработкой веб-приложения с GWT и GWTP.Я заглядываю на вики-страницу GWTP и выполняю защиту от атак XSRF, следуя инструкции.Он работает нормально в режиме разработки.

Теперь я развернул его на сервере Tomcat.Но в консоли он продолжает сообщать мне об отсутствии файлов cookie, отправленных клиентом в RPC.В результате вызов RPC не может быть выполнен, поскольку он считается атакой XSRF.

Может кто-нибудь сказать мне, что с ним не так?Это из-за настройки Tomcat, так как приложение работает нормально в режиме разработки.

Õzbek · Answer 1 · 10 января 2012

Я думаю, что это не из GWTP, это что-то, связанное с вашим Tomcat

Сеансовые и SSO-файлы cookie в Tomcat 7 по умолчанию отправляются с флагом HttpOnly, чтобы дать указание браузерам запретить доступ к этим cookie-файлам из JavaScript. (Это можно включить в Tomcat 6.0 и 5.5, установив useHttpOnly = "true" для элемента Context в веб-приложении или в глобальном файле CATALINA_BASE / conf / context.xml). http://tomcat.apache.org/migration.html#Session_cookie_configuration

Итак, проверьте ваш context.xml, что-то вроде этого:

  <Context cookies="true" useHttpOnly="false" >
    <WatchedResource>WEB-INF/web.xml</WatchedResource>
    </Context>

Должен ли быть установлен флаг HttpOnly для файлов cookie сеанса для предотвращения клиента побочный скрипт от доступа к идентификатору сеанса? По умолчанию true.

Подробнее о Атрибуты контекста

GWTP Защита от атак XSRF

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

GWTP Защита от атак XSRF

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы