我有一个 struts2 webapp,我需要在其中实现 CSRF 保护。对于统计表格,它非常简单。我只需要激活tokenSession 拦截器,然后在要提交的表单中设置<s:token/>。 (解释here和here)
但是当我需要为不一定通过表单提交的 POST AJAX 调用(我使用的是 jQuery)启用 CSRF 保护时,就会出现问题。在进行后续 AJAX 调用时,我面临重复使用令牌的问题。
感谢任何指针或不同的方法。
【问题讨论】:
标签: jquery ajax struts2 csrf antiforgerytoken
目前我已经通过为 AJAX 请求生成令牌并使用正常响应发送它来解决问题 -
Map<String, String> tokenInfo = Maps.newHashMap();
tokenInfo.put("struts.token.name", TokenHelper.getTokenName());
tokenInfo.put(TokenHelper.getTokenName(), TokenHelper.setToken());
我将从中抽象出一个 util 方法,并让被令牌激活的操作返回此作为响应的一部分,这些操作将在不刷新页面的情况下重复执行。
不过,我仍在寻找一个优雅的解决方案。
【讨论】:
你不能生成一个 Token 并将其用作 ajax 调用中的参数吗?
对于后续的AJAX调用,可以使用per-user Token,
不一定是per-request Token,
正如这个 SO 答案中所解释的:Do I need a CSRF token for jQuery .ajax()?
【讨论】: