我需要在JSP中使用隐藏变量进行会话跟踪。这是代码:我们应该在JSP中放置HIDDEN变量
<input type="hidden" name="REQ_TOKEN" value="<%=session.getAttribute("SESN_TOKEN").toString()%>" />
我用这比较与会话令牌请求令牌,所以只有当两者相等,我会评估该请求,否则我将抛出一个错误。
现在的问题是,当我把这个代码放入<form></form>
标签里时,它工作正常。不幸的是,我的应用程序中有一些JSP没有<form>
标签(我知道这听起来很奇怪!)。我可以在哪里放置我的代码,以便它可以工作?
如果没有<form>
标记,我不能使用隐藏变量吗?
我想代码不显示在那里,这里是:
" />
– micheal 2010-03-18 14:03:41这种方法闻起来。你需要什么?你不是在重塑'HttpSession'已经在做什么吗?如果只是为了CSRF预防,那么你根本不需要它在无形的页面上。 – BalusC 2010-03-18 14:07:21
@ Balus C,我试图用这段代码来阻止跨站请求伪造。 – micheal 2010-03-18 14:10:22