Мне нужно реализовать предотвращение атаки CSRF с использованием токена в приложении, которое использует запросы ajax post (библиотека ExtJs) для действий Struts. Как я могу реализовать генерирование и проверку маркера в таком случае?Предотвращение CSRF для вызова AJAX от extjs к действию Struts
ответ
В ExtJS вы можете использовать это:
Ext.Ajax.setDefaultHeaders({ token: 'xyz' })
Эта операция добавит заголовок каждого запроса вы будете отправлять на сервер.
На стороне сервера рассмотрите использование Spring Security. Я рекомендую это решение.
Второй (и не последний вариант) - вы можете написать свой собственный сервис сервлет и фильтры для - (генерирующую службой маркеров) аутентификаций - авторизаций (фильтр для проверки запроса маркеров).
Не могли бы вы объяснить, как я могу вводить токен на стороне клиента. если я правильно понял, он должен быть сгенерирован на стороне сервера. –
Да, токен должен быть сгенерирован на стороне сервера. Как вводить токен? Я только что написал. Каждый запрос в ExtJS наследуется от Ext.Ajax. Итак - когда вы устанавливаете заголовок по умолчанию для этого класса, каждый запрос будет отправляться с этим заголовком. Я не знаю, что именно вы пытаетесь сделать, но один из способов реализовать токен на стороне клиента - это сделать запрос. Вы получаете токен и устанавливаете его, как я написал выше. Конечно, вы можете использовать форму входа или загружать ее автоматически с сервера или вводить ее в статические файлы. Существует много возможностей. – Filip
- 1. Предотвращение вебсервис URL от CSRF
- 2. Предотвращение от Ajax вызова в MVC
- 3. Предотвращение Ajax вызова от стрельбы дважды
- 4. Предотвращение CSRF в пользовательских формах формы AJAX
- 5. Struts 2 передать динамический url от действия к действию
- 6. Предотвращение CSRF?
- 7. «setURLToShare» необходимо вызвать для вызова к действию
- 8. Вперед от действия к действию
- 9. Предотвращение повторных вызовов к действию при обновлении
- 10. Предотвращение возврата пользователя к последнему действию
- 11. Android: Предотвращение возврата к предыдущему действию
- 12. интеграция extjs и struts
- 13. Генерация токена CSRF для приложения Rich Ajax
- 14. Предотвращение csrf в php
- 15. Добавить заголовок защиты CSRF для вызова ajax в wicket
- 16. Значок CSRF для ajax
- 17. Android от приемника к действию
- 18. Метод вызова через Ajax в Struts 1
- 19. Struts 1.2 ActionForms & isTokenValid CSRF
- 20. Ajax URL к действию не работает + Symfony2
- 21. Предотвращение вызова trackPageView в GA от GTM
- 22. Hash от маршрута к действию
- 23. Предотвращение уязвимостей CSRF, альтернативных методов для токена CSRF
- 24. игнорировать запросы не-ajax к действию
- 25. Предотвращение нескольких запросов от ajax
- 26. ASP.Net MVC Предотвращение прямого доступа к действию из метода RedirectToAction
- 27. Предотвращение CSRF без модификации клиенту
- 28. Предотвращение вызова ajax с помощью проверки JS
- 29. Добавление вызова к действию на страницу Facebook
- 30. ExtJS - Невозможно перезагрузить комбо после AJAX вызова
Что относительно OAuth 2.0 (http://oauth.net/2/)? Там есть много библиотек JAVA, которые поддерживают его. – oberbics
@oberbics Мне нужно реализовать предотвращение только для нескольких запросов, и я не могу ничего сделать с текущим процессом авторизации. –
Просьба уточнить вашу конкретную проблему или добавить дополнительные сведения, чтобы точно указать, что вам нужно. Как это написано в настоящее время, трудно точно сказать, что вы просите. См. Страницу «Как спросить», чтобы помочь прояснить этот вопрос. –