如何在 Grails 中防范 XSRF？

Question

如何在 Grails 中防范 XSRF 攻击。我看到表单支持 useToken 的概念（我认为应该足够了）。但是，remoteForm 或其他 AJAX 相关请求不支持此功能。

另外，有没有办法反转 useToken 的功能，以便始终使用它而不是根据具体情况启用它？

Answer 1

您可以尝试查看 的源代码标签。它使用 SynchronizerToken 创建一个令牌并将其存储在会话中。根据此问题的解决方案，应该可以使用相同的令牌所有表格都在同一页上。我没有尝试这样做，但理论上您只需要在表单上手动创建一个隐藏字段并在该字段中生成令牌。

Answer 2

我们在 before 过滤器中向请求对象注入一个隐藏值，并使用特定密钥加密该值。然后，我们将该 request.token 值注入到网站上的每个表单中，当我们收到 POST 时，我们有一个 before 过滤器来验证该隐藏字段是否存在并且其值可以通过相同的密钥进行解码。

如果该隐藏值不存在或者它已过时（我们使用时间戳作为有效负载），我们会给客户端一个错误状态。

这是上述方法的另一种方法，我们使用这种方法，因为我们不在我们的站点上使用会话来更容易地进行负载平衡。