【问题标题】:Error possible XSRF attack in GWTP applicationGWTP 应用程序中可能存在 XSRF 攻击错误
【发布时间】:2018-04-12 20:16:10
【问题描述】:

我有一个 GWTP 应用程序 (app1) 调用另一个 GWTP 应用程序 (app2)。第一个将SecurityCookie 设置为第二个。

如果 app1 在新会话中,并且这会打开 app2,则一切正常。如果我关闭浏览器并在新会话中打开 app1 而不擦除浏览器缓存,则 app1 会调用 app2 并打印以下错误:

严重:RPC 提供的 cookie 与请求 cookie 不匹配,正在中止 行动,可能的 XSRF 攻击。 (也许你忘了设置安全 饼干?)

【问题讨论】:

  • 您使用的是RandomSecurityCookieFilter 还是HttpSessionSecurityCookieFilter?当你说两个独立的应用程序时,你真的是指两个独立的应用程序吗?因为不同应用程序之间的通信不是 XSRF 保护的目的吗?

标签: cookies gwt csrf gwtp


【解决方案1】:

如果没有更多信息,很难提供准确的解决方案,但这是 GWTP 中的一个已知问题,因为每次发出新的 RPC 请求时,RandomSecuritySessionFilter 都会更改 cookie。

this github issue here。如果你想理解这个问题,它相当长,但值得一读。

在我自己的应用程序中,我一次调度了大约 5 个异步 RPC 调用,并且在开发模式下一直收到与您相同的错误,但在生产中很少见(由于开发服务器非常快,调用返回的时间要长得多随机时尚)。所以作为一个黑客,我在开发模式下关闭了 cookie,因为它让我的生活变得如此困难。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2018-06-26
    • 2013-04-29
    • 1970-01-01
    • 1970-01-01
    • 2010-09-20
    • 1970-01-01
    • 2014-01-27
    相关资源
    最近更新 更多