使用GWT的RequestFactory时防止CSRF

Question

我刚刚开始将我的GWT-RPC代码移植到新的RequestFactory机制中。

为了防止跨站请求伪造（CSRF），我的GWT-RPC代码抓取了存储在cookie中的会话ID，并将其包含在请求的有效负载中。这可能与RequestFactory？

据我所知，有四个强制定位器的方法，包括findEntity(id_type id);所以我在想：哦亲爱的：我在哪里放我的会话ID？

Answer 1

一般情况下，你会延长DefaultRequestTransport令牌添加到请求（如自定义标题，但你也可以把它添加到请求体），并将它传递给你的RequestFactory的init。在服务器端，您将使用servlet过滤器，或者在处理RequestFactory请求之前扩展RequestFactoryServlet以处理令牌。您可以在这里自由定义您自己的“协议”：例如返回403或401状态（或其他），然后在RequestTransport中处理它以将结果传达给您的应用程序。