我正在尝试使用token
Struts 附带的拦截器来实现 CSRF 检查。但是,<form />
我没有使用 a,而是从一些 JS 中进行 AJAX 调用:
foo.jsp:
<!DOCTYPE html>
<%@ taglib uri="/struts-tags" prefix="s" %>
<html>
<body>
<s:token />
<script>
var strutsToken = "<s:property value="#session['struts.tokens.token']" />";
</script>
<script src="bar.js"></script>
</body>
</html>
bar.js:
$.ajax({
url: '/endpoint',
data: strutsToken,
dataType: 'jsonp',
cache: true,
success: function() { console.log('success'); },
error: function() { console.log('failure'); }
});
我已经确认令牌值将其放入 JS 变量中:
> strutsToken
"N3ZLLLR2Y3QGMZP0L3UCYWI5CO5NYZEY"
不幸的是,当发出 AJAX 请求时,invalid-token
服务器上会引发错误。
我正在尝试做的事情是否可能,如果可以,如何做?