Exi*_*ide 3 ajax struts2 token interceptor
我正在尝试使用tokenStruts附带的拦截器来实现CSRF检查.但是,而不是使用<form />我从一些JS内部进行AJAX调用:
foo.jsp:
<!DOCTYPE html>
<%@ taglib uri="/struts-tags" prefix="s" %>
<html>
<body>
<s:token />
<script>
var strutsToken = "<s:property value="#session['struts.tokens.token']" />";
</script>
<script src="bar.js"></script>
</body>
</html>
bar.js:
$.ajax({
url: '/endpoint',
data: strutsToken,
dataType: 'jsonp',
cache: true,
success: function() { console.log('success'); },
error: function() { console.log('failure'); }
});
我已经确认令牌值正在变成JS变量:
> strutsToken
"N3ZLLLR2Y3QGMZP0L3UCYWI5CO5NYZEY"
不幸的是,当发出AJAX请求时,invalid-token服务器上会抛出错误.
我试图做的是什么,如果是的话,怎么样?
目前这是$ .ajax调用请求的内容:
GET /endpoint?N3ZLLLR2Y3QGMZP0L3UCYWI5CO5NYZEY
您需要为令牌指定一个参数名称.您还需要提供"struts.token.name"参数:
GET /endpoint?struts.token.name=token&token=N3ZLLLR2Y3QGMZP0L3UCYWI5CO5NYZEY
现在使用原始代码:
var token = {
"struts.token.name": "token",
"token": strutsToken
};
$.ajax({
url: '/endpoint',
data: token,
dataType: 'jsonp',
cache: true,
success: function() { console.log('success'); },
error: function() { console.log('failure'); }
});
| 归档时间: |
|
| 查看次数: |
3045 次 |
| 最近记录: |