0

添加 GWT RPC XSRF 保护后,RPC 调用有什么不同?

我遵循了这篇文章中提到的更改(GWT (2.4.0) + XSRFhttps://developers.google.com/web-toolkit/doc/latest/DevGuideSecurityRpcXsrf)并让 GWT RPC XSRF 工作,我看到了我的包含在“com.google.gwt.user.client.rpc.XsrfToken”中的 RPC 调用,但是我仍然可以在 Fiddler 中拦截请求并更改请求以获取其他内容,我认为经过这种保护,我不会能做到这一点吗?

我可以在 Fidder 的原始请求中更改getFirstURL以获得另一个有效参数,例如“ getSecondURL

http://127.0.0.1:8888/myapp/|AC7025AD520A4366B89A555020174220|com.google.gwt.user.client.rpc.XsrfToken/4254043109|EC4AE16148312F61EB4C4DA365F2F4B2|com.myapp.service.MyService|getFirstURL
4

1 回答 1

1

您描述的不是 XSRF,而是 MITM。为了防止 MITM,必须使用 HTTPS(或签署请求,但在浏览器中这是不切实际的,如果可能的话)。

简单来说,XSRF 是关于攻击者站点向受害者站点伪造一个跨站点请求(因此得名),并利用现有的 cookie(或其他任何东西)来验证用户,从而访问其个人数据和/ 或代表他进行更改。为了缓解这种情况,服务器使用用户会话与会话关联的令牌对每个请求进行身份验证,但这是请求有效负载的一部分(cookie 由浏览器自动添加,因此您不需要知道它,令牌必须是发出请求的一方知道,攻击者可能不知道有效的令牌)。

于 2013-05-14T13:43:42.717 回答