Мне нужно реализовать предотвращение атаки CSRF с использованием токена в приложении, которое использует запросы ajax post (библиотека ExtJs) для действий Struts. Как я могу реализовать генерирование и проверку маркера в таком случае?Предотвращение CSRF для вызова AJAX от extjs к действию Struts
В ExtJS вы можете использовать это:
Ext.Ajax.setDefaultHeaders({ token: 'xyz' })
Эта операция добавит заголовок каждого запроса вы будете отправлять на сервер.
На стороне сервера рассмотрите использование Spring Security. Я рекомендую это решение.
Второй (и не последний вариант) - вы можете написать свой собственный сервис сервлет и фильтры для - (генерирующую службой маркеров) аутентификаций - авторизаций (фильтр для проверки запроса маркеров).
Не могли бы вы объяснить, как я могу вводить токен на стороне клиента. если я правильно понял, он должен быть сгенерирован на стороне сервера. –
Да, токен должен быть сгенерирован на стороне сервера. Как вводить токен? Я только что написал. Каждый запрос в ExtJS наследуется от Ext.Ajax. Итак - когда вы устанавливаете заголовок по умолчанию для этого класса, каждый запрос будет отправляться с этим заголовком. Я не знаю, что именно вы пытаетесь сделать, но один из способов реализовать токен на стороне клиента - это сделать запрос. Вы получаете токен и устанавливаете его, как я написал выше. Конечно, вы можете использовать форму входа или загружать ее автоматически с сервера или вводить ее в статические файлы. Существует много возможностей. – Filip
Что относительно OAuth 2.0 (http://oauth.net/2/)? Там есть много библиотек JAVA, которые поддерживают его. – oberbics
@oberbics Мне нужно реализовать предотвращение только для нескольких запросов, и я не могу ничего сделать с текущим процессом авторизации. –
Просьба уточнить вашу конкретную проблему или добавить дополнительные сведения, чтобы точно указать, что вам нужно. Как это написано в настоящее время, трудно точно сказать, что вы просите. См. Страницу «Как спросить», чтобы помочь прояснить этот вопрос. –