6

我刚刚开始将我的 GWT-RPC 代码移植到新RequestFactory机制。

为了防止跨站点请求伪造 (CSRF),我的 GWT-RPC 代码抓取了已存储在 cookie 中的会话 id,并将其包含在请求的负载中。这可能RequestFactory吗?

我了解有四种强制性定位器方法,包括findEntity(id_type id):所以我在想:哦,亲爱的:我在哪里放我的会话ID?

4

1 回答 1

9

通常,您将扩展DefaultRequestTransport以将令牌添加到请求中(例如自定义标头,但您也可以将其添加到请求正文中)并将其传递给init您的RequestFactory. 在服务器端,您将使用 servlet 过滤器,或者RequestFactoryServlet在处理 RequestFactory 请求之前进行扩展以处理令牌。您可以在这里自由定义自己的“协议”:例如返回 403 或 401 状态(或其他),然后在 中处理它以RequestTransport将结果传达给您的应用程序。

于 2011-06-03T13:27:07.847 回答