2

在 POST 请求中包含 CSRF 预防令牌并通过覆盖 DefaultRequestTransport 和 RequestFactoryServlet 在服务器上对其进行验证似乎很简单。

但是,我还有一个问题:如何生成令牌并将其首先发送给客户端?

很可能,很可能,我错过了一些明显的东西。我假设我需要在服务器上创建会话时创建令牌,将其存储在会话中并将其传递给客户端。

然后,客户端将令牌存储在 cookie 中,并从那时起将令牌传递到请求标头中。

是否有某种过滤器可以用来提供令牌?

4

2 回答 2

0

如果你使用 RPC,你可以阅读这个文档,它有实现它的示例代码。

对于 RF,这个问题可能会有所帮助。

于 2013-06-13T17:09:16.827 回答
0

服务器在第一个请求上生成一个随机令牌,通常将其包含在脚本的下载中。

于 2013-07-23T15:09:29.197 回答