3

我正在尝试使用tokenStruts 附带的拦截器来实现 CSRF 检查。但是,<form />我没有使用 a,而是从一些 JS 中进行 AJAX 调用:

foo.jsp: 

<!DOCTYPE html>
<%@ taglib uri="/struts-tags" prefix="s" %>
<html>
<body>
    <s:token />
    <script>
        var strutsToken = "<s:property value="#session['struts.tokens.token']" />";
    </script>
    <script src="bar.js"></script>
</body>
</html>

bar.js: 

$.ajax({
    url: '/endpoint',
    data: strutsToken,
    dataType: 'jsonp',
    cache: true,
    success: function() { console.log('success'); },
    error: function() { console.log('failure'); }
});

我已经确认令牌值将其放入 JS 变量中:

> strutsToken
"N3ZLLLR2Y3QGMZP0L3UCYWI5CO5NYZEY"

不幸的是,当发出 AJAX 请求时,invalid-token服务器上会引发错误。

我正在尝试做的事情是否可能,如果可以,如何做?

4

1 回答 1

5

这是当前$.ajax调用所要求的:

GET /endpoint?N3ZLLLR2Y3QGMZP0L3UCYWI5CO5NYZEY

您需要给令牌一个参数名称。您还需要提供“struts.token.name”参数:

GET /endpoint?struts.token.name=token&token=N3ZLLLR2Y3QGMZP0L3UCYWI5CO5NYZEY

现在使用原始代码使其工作:

var token = {
    "struts.token.name": "token",
    "token": strutsToken
};

$.ajax({
    url: '/endpoint',
    data: token,
    dataType: 'jsonp',
    cache: true,
    success: function() { console.log('success'); },
    error: function() { console.log('failure'); }
});
于 2013-11-12T20:55:54.033 回答