使用 GWT 的 RequestFactory 时防止 CSRF

Question

我刚刚开始将 GWT-RPC 代码移植到新的 RequestFactory 机制。

为了防止跨站点请求伪造 (CSRF)，我的 GWT-RPC 代码获取了存储在 cookie 中的会话 ID，并将其包含在请求的有效负载中。 RequestFactory 可以实现这一点吗？

据我所知，有四种强制定位器方法，包括 findEntity(id_type id);所以我在想：哦，天哪：我该把我的会话 ID 放在哪里？

Answer 1

通常，您将扩展 DefaultRequestTransport 以将令牌添加到请求中（例如自定义标头，但您也可以将其添加到请求正文中）并将其传递给 initRequestFactory 的 code>。在服务器端，您可以使用 servlet 过滤器，也可以扩展 RequestFactoryServlet 来在处理 RequestFactory 请求之前处理令牌。您可以在此处自由定义自己的“协议”：例如返回 403 或 401 状态（或其他状态），然后在 RequestTransport 中对其进行处理，以将结果传达给您的应用。