我们应该在JSP中放置HIDDEN变量

Question

我需要在JSP中使用隐藏变量进行会话跟踪。这是代码：

<input type="hidden" name="REQ_TOKEN" value="<%=session.getAttribute("SESN_TOKEN").toString()%>" /> 

我用这比较与会话令牌请求令牌，所以只有当两者相等，我会评估该请求，否则我将抛出一个错误。

现在的问题是，当我把这个代码放入<form></form>标签里时，它工作正常。不幸的是，我的应用程序中有一些JSP没有<form>标签（我知道这听起来很奇怪！）。我可以在哪里放置我的代码，以便它可以工作？

如果没有<form>标记，我不能使用隐藏变量吗？

Answer 1

听起来你正在描述的隐藏价值是什么更通常被称为nonce，它（当谈论web表单时）是一个值，用于验证表单只提交一次，请求表单的同一会话。请参阅防止cross-site request forgery的注意事项。

首先，您如何提交没有<form>的请求？用户只需点击一个链接？如果是这样的话，你可以在查询字符串中附加nonce，但是如果你使用GET请求来破坏某些实际需要验证nonce的破坏性的东西，那么你做错了。这些类型的请求只能通过POST进行，这意味着生成<form method="post">。

其次，不，您不能使用<input type="hidden" />以外的窗体。给定表单仅提交自己的值，即<form>和</form>之间的元素。

如果您希望您的隐藏值包含在要发回的数据中，您必须在提交的表单中包含隐藏的输入。如果像你说的那样，你不能在你的JSP文件中包含需要的<form>标签，那么你可以通过Javascript动态地发出请求，但是这引入了对Javascript的依赖，你应该避免这么简单和基本的东西。

Answer 2

就我所知，您需要在窗体标记中使用隐藏字段才能正常工作。仍然查找它，将repost。到目前为止，我发现的网站都表示它们应该在表格中。

编辑* roseindia.net/jsp/jspsession/HiddenForm

Answer 3

如果它只是一个CSRF的预防，那么你不需要它了，在无形的页面。只是因为没有什么可以保护:)关键是将它包含在每个<form method="post">中，而不是每个页面中。

也就是说，“会话跟踪”是一个完全不同的概念。在cookie或URL重写的帮助下，HttpSession已经在幕后准确完成了。这就是为什么我最初发现你的问题令人困惑，并发表评论澄清。在这里，您只需要借助基于请求的令牌进行“请求跟踪”，您可以在会话作用域中存储该请求令牌（并且在请求通过后立即删除），以便您可以防止CSRF。

更新：您可能会发现this answer有助于了解更多关于CSRF的实际情况。