那些遇到过的问题

GWT:XSRF:偶尔丢失X-GWT-Permutation标头

man*_*tis 4 firefox gwt securityexception gwt-rpc

我的应用程序收到GWT在RemoteServiceServlet.checkPermutationStrongName()找不到X-GWT-Permutation HTTP Header 时偶然发生的XSRF攻击错误HttpServletRequest.发生错误时,日志文件中会出现以下行:

WARNING: doUnexpectedFailure was invoked.
java.lang.SecurityException: Blocked request without GWT permutation header (XSRF attack?)
Run Code Online (Sandbox Code Playgroud)

在托管模式和Web模式下,Firefox 3.x和4.0都遇到了这个问题.

我运行了Live Headers,确实缺少HTTP头.

该应用程序是vanilla GWT RPC.

有任何想法吗?

失败标题

http://127.0.0.1:8888/org.drools.guvnor.Guvnor/guvnorService

POST /org.drools.guvnor.Guvnor/guvnorService HTTP/1.1
Host: 127.0.0.1:8888
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-GB; rv:1.9.2.15) Gecko/20110303 Ubuntu/10.10 (maverick) Firefox/3.6.15
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-gb,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive
Content-Length: 154
Content-Type: text/x-gwt-rpc; charset=utf-8
Referer: http://127.0.0.1:8888/org.drools.guvnor.Guvnor/Guvnor.html?gwt.codesv...
Cookie: standalone_usage=true
Pragma: no-cache
Cache-Control: no-cache


7|0|4|http://127.0.0.1:8888/org.drools.guvnor.Guvnor/|
6808FDC8A4FA3491026441B59E4DB72A|
org.drools.guvnor.client.rpc.RepositoryService|subscribe|1|2|3|4|0|

HTTP/1.1 400 Bad Request
Content-Type: text/plain;charset=ISO-8859-1
Transfer-Encoding: chunked
Date: Wed, 23 Mar 2011 20:11:04 GMT
Server: Apache-Coyote/1.1
Connection: close
Run Code Online (Sandbox Code Playgroud)

成功标题

http://127.0.0.1:8888/org.drools.guvnor.Guvnor/guvnorService

POST /org.drools.guvnor.Guvnor/guvnorService HTTP/1.1
Host: 127.0.0.1:8888
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-GB; rv:1.9.2.15) Gecko/20110303 Ubuntu/10.10 (maverick) Firefox/3.6.15
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-gb,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive
X-GWT-Permutation: HostedMode
X-GWT-Module-Base: http://127.0.0.1:8888/org.drools.guvnor.Guvnor/
Content-Type: text/x-gwt-rpc; charset=utf-8
Referer: http://127.0.0.1:8888/org.drools.guvnor.Guvnor/Guvnor.html?gwt.codesv...
Content-Length: 154
Cookie: standalone_usage=true
Pragma: no-cache
Cache-Control: no-cache


7|0|4|http://127.0.0.1:8888/org.drools.guvnor.Guvnor/|
41FA1D8B82DBBBC875605A4A29670D99|
org.drools.guvnor.client.rpc.RepositoryService|subscribe|1|2|3|4|0|

HTTP/1.1 200 OK
Content-Disposition: attachment
Content-Type: application/json;charset=utf-8
Content-Length: 48
Date: Wed, 23 Mar 2011 20:15:38 GMT
Server: Apache-Coyote/1.1
Run Code Online (Sandbox Code Playgroud)

小智 5

我的申请面临同样的问题.看起来FireFox 3.x在XmlHttpRequest对象中设置时没有发送额外的请求标头!

快速解决此问题的方法是在服务器端覆盖方法的RPC实现中使用空实现的checkPermutationStrongName().

@Override
protected void checkPermutationStrongName() throws SecurityException {
    return;
}
Run Code Online (Sandbox Code Playgroud)

我认为我们需要向FireFox报告这个问题以获得正确的解决方案.

归档时间:

查看次数:

3870 次

最近记录:

13 年,6 月 前
相关归档
如何在Firefox 4 +中重置默认按钮样式 21
通过命令行清除浏览器缓存 17
响应式媒体查询无法在Google Chrome中使用 11
如何从C#应用程序自动化Firefox? 10
在GWT中序列化对象 6
什么是java.util.regex.Pattern.quote(String arg)的GWT替换 5
Firefox报告"没有支持格式的视频和发现的Mime类型" 5
Firefox 不再解释 XSLT-1.0 5
使用UiBinder为普通的html元素设置样式 2
为什么Twitter无法在1小时内处理多个请求? 0
难疑归档
使用Git将特定文件重置或还原到特定版本? 4255
电话和申请有什么区别? 3012
如何检查对象是否是数组? 2581
如何检测元素外部的单击? 2367
'using'指令应该在命名空间的内部还是外部? 1975
如何基于通配符匹配以递归方式查找当前和子文件夹中的所有文件? 1695
在Chrome中停用相同的来源政策 1443
如何通过curl调用使用HTTP请求发送标头? 1328
如何将包含文件的文件夹复制到Unix/Linux中的另一个文件夹? 1145
如何配置Visual Studio代码以始终在新选项卡中打开文件? 1078