1. घर
  2. सवाल और जवाब
  3. जीडब्ल्यूटी और एक्सएसआरएफ संरक्षण

जीडब्ल्यूटी और एक्सएसआरएफ संरक्षण

2011-06-06 13 views
7

मैं एक्सएसआरएफ के खिलाफ अपने जीडब्ल्यूटी ऐप की सुरक्षा के लिए संभावित समाधान देख रहा हूं।जीडब्ल्यूटी और एक्सएसआरएफ संरक्षण

तो मैं समझता हूँ GWT's solution सही ढंग से - यह बनाता उपलब्ध एक सर्वलेट जो आप दोनों के लिए उपयोग (जब आपके RPC एंडपॉइंट बुला) और सर्वर साइड पर मान्य करने के लिए (जब कॉल आपकी सेवा हिट क्लाइंट-साइड पर टोकन बनाएं)।

क्या यह समाधान केवल आरपीसी कॉल के लिए पूरा करता है? निश्चित रूप से हमें सर्वर पर सभी उपयोगकर्ता द्वारा उत्पन्न अनुरोधों को कवर करने की आवश्यकता है?

कोई अन्य अनुशंसित एक्सएसआरएफ समाधान (मैं OWASP's CSRFGuard पर भी देख रहा हूं)?

स्रोत

2011-06-06 Markus Coetzee

+0

जीडब्ल्यूटी आरपीसी के अलावा आप किस प्रकार के उपयोगकर्ता द्वारा उत्पन्न अनुरोधों का उपयोग कर रहे हैं? –

+0

हमारे पास कुछ servlets, एक जैक खरगोश भंडार आदि है जो उपयोगकर्ता के लिए अनुरोध उत्पन्न कर सकते हैं। –

उत्तर

5

मैंने एक्सएसआरएफ के खिलाफ संरक्षित होने के लिए जीडब्ल्यूटी नमूना ऐप को संशोधित किया। यह समाधान लगभग जीडब्ल्यूटी डेवलपर दस्तावेज़ों में प्रदान किए गए समाधान के आधार पर है। http://code.google.com/p/xsrf-safe/

स्रोत

2011-06-12 03:17:05

+0

मैंने आपके समाधान को देखा, जो मैं घूम रहा हूं, आप क्लाइंट पक्ष पर कुकी बनाते और प्रबंधित करते हैं? क्योंकि मैं google-apps का उपयोग नहीं करता, मैं कुकी JSESSIONID का उपयोग कैसे कर सकता हूं, जिसमें कोई मान नहीं है, आप कुकी का मान कहां सेट करते हैं, और आप कुकी को कैसे संभालते हैं ... क्या आप इसे समझा सकते हैं, या मुझे एक लिंक पर इंगित करें? tnx – Darwly

+0

"सत्र बनाते समय JSESSIONID कुकी बनाई/भेज दी जाती है। सत्र तब बनाया जाता है जब आपका कोड अनुरोध करता है .getSession() या request.getSession (true) पहली बार।" -http: //stackoverflow.com/questions/595872/under-what-conditions-is-a-jsessionid-created –

+0

उदाहरण में request.getSession() को Xsrf_Safe.jsp http://code.google.com में बुलाया जाता है /p/xsrf-safe/source/browse/trunk/war/Xsrf_Safe.jsp –

संबंधित मुद्दे

 संबंधित मुद्दे