0

我们有一个在 tomcat 6 中运行并尝试与 HDIV 集成的遗留 Web 应用程序(由 5 个模块组成)。用户将从模块 1 进行身份验证,为会话令牌创建一个 cookie,并通过使用过滤器来保护其他模块,以使用来自应用程序缓存的 cookie 和身份验证信息来验证用户。

创建单独的 hdiv-config.xml 并通过 web.xml 在各个模块中进行配置。

在这种情况下如何配置起始页 url?如果我们限制在登录页面,其他模块是无法访问的。如果我们配置允许所有页面作为起始页面,HDIV 不包括 _HDIV_STATE_ 参数以防止 CSRF。

看起来每个模块都使用其赢得的 HTTP 会话。

我们希望保护所有模块免受跨站请求伪造 (CSRF) 的影响,请就此提出建议。

谢谢, 苏雷什

4

1 回答 1

0

每个模块都需要自己的 HDIV 配置。

仅在 module-1 中将登录 url 配置为起始页。

在其他模块中,仅将用于从一个模块移动到另一个模块的 url 定义为起始页。

模块内部 url(不更改模块)可以受 HDIV 保护。

于 2014-04-28T07:51:36.267 回答