Dav*_*vid 6 gwt csrf requestfactory
我刚刚开始将我的GWT-RPC代码移植到新RequestFactory机制.
为了防止跨站点请求伪造(CSRF),我的GWT-RPC代码获取了存储在cookie中的会话ID,并将其包含在请求的有效负载中.这有可能RequestFactory吗?
据我所知,有四种强制定位器方法,包括findEntity(id_type id):所以我在想:哦,亲爱的:我在哪里提出我的会话ID?
通常,您将扩展DefaultRequestTransport为将令牌添加到请求(例如自定义标头,但您也可以将其添加到请求正文)并将其传递给init您的RequestFactory.在服务器端,您将使用servlet过滤器,或者RequestFactoryServlet在处理RequestFactory请求之前扩展以处理令牌.您可以在这里自由定义自己的"协议":例如,返回403或401状态(或其他),然后在其中处理它RequestTransport以将结果传达给您的应用程序.