更新:GWT 2.3引入了更好的机制来对抗XSRF攻击.请参阅http://code.google.com/webtoolkit/doc/latest/DevGuideSecurityRpcXsrf.html
GWT的RPC机制在每个HTTP请求上执行以下操作 -
HTTP请求始终是POST,在服务器端GET方法抛出异常(不支持方法).
此外,如果未设置这些标头或具有错误的值,则服务器会因"可能是CSRF?"而异常处理.或者那种效果.
问题是:这是否足以阻止CSRF?有没有办法在纯交叉站点请求伪造方法中设置自定义标头和更改内容类型?
使用ajax提交的表单有问题.我用Zend Framework做我的表单.有些是真实的形式,所以我添加了一个Hash元素.其他用于小型操作(如upvote和downvote),所以我用链接做.
我的问题是我需要使用ajax,尤其是小型表单(链接).我看到很多问题,但没有足够的全面解决问题.有关如何通过ajax提交表单时如何使csrf令牌顺利运行的详细说明?最好使用Zend Framework,但一般的PHP答案也会有所帮助.
我计划构建一个前端和后端分离的应用程序(仅使用 ajax 请求)。我不允许跨站点 ajax 请求。我可以通过 ajax 调用生成 csrf 令牌,通过添加像 /csrf 这样的 API 返回如下内容:{csrf: 'token'} 以下网站说我绝对不能这样做:https : //github.com/pillarjs/理解-csrf
确保无法使用 AJAX 访问 CSRF 令牌!不要仅仅为了获取令牌而创建 /csrf 路由,尤其不要在该路由上支持 CORS!
有什么具体原因吗?我理解 CORS 背后的原因 - 这是禁用的,但是通过 ajax 提供 csrf 令牌是否存在任何固有的安全风险?