我将 Apache Jackrabbit 2.6.3 配置为在匿名模式下使用 WebDAV(空凭据映射到anonymous:anonymous)。
如果我单击指向某个文件(例如 JPG 或 DOC)的直接链接,GlassFish 服务器会抛出 HTTP 403 错误。如果我按F5,403 仍然存在。
但是,如果我只是Enter在浏览器的地址栏中按相同的 URL,一切正常,并且可以访问资源。
我认为唯一的区别是 HTTP 标头中的引用者。
我搜索了有关类似问题的任何信息,但找不到任何东西。
有没有人知道如何强制 WebDAV(或 Jackrabbit)以匿名模式提供文件,尽管引用者或任何其他原因?
我找到了解决方案。
在web.xml文件部分WebDAV的以下部分必须取消注释:
<init-param>
<param-name>csrf-protection</param-name>
<param-value>disabled</param-value>
</init-param>
与disabled作为param-value.
正如描述所说:
定义基于引用者的 CSRF 保护的行为
1) 如果省略或留空,则(默认)行为是只允许具有
空引用者标头或引用者主机等于服务器主机的请求
2) 还可以包含逗号分隔的列表其他允许的引荐来源主机
3) 如果设置为“禁用”,则根本不会执行引荐来源网址检查