小编Jul*_*iet的帖子

我一直在阅读使用同步器令牌模式来防止CSRF(CSRF意味着跨站点请求伪造.),我不明白它实际上是如何安全的.

假设我有一个虚假的银行网站fakebank.com,有两个网址:

• fakebank.com/withdrawForm.html - 显示提款单的GET请求
• fakebank.com/doWithdraw - 发送到此网址进行撤销

我对安全漏洞的理解是maliciousSite.com可以欺骗POST请求fakebank.com/doWithdraw,如果你当前登录到fakebank,POST将会成功.

假设我们实现了一个同步器令牌模式,它将嵌入一个密码fakebank.com/withdrawForm.html.不能maliciousSite.com只是欺骗该表单的GET请求,解析html结果,获取令牌,然后使用该令牌创建POST请求？

假设fakebank.com没有检查HTTP Referrer或Origin,或者maliciousSite.com成功欺骗了Referrer/Origin是fakebank.com.

我正在尝试直接向Android 2.2联系人添加新联系人.

//this code doesn't work    
ContentValues cv=new ContentValues();
cv.put(ContactsContract.Contacts.DISPLAY_NAME, "TESTEST");
Uri u= getContentResolver().insert(ContactsContract.Contacts.CONTENT_URI, cv);

给我错误"自动创建聚合联系人".我究竟做错了什么？

这会调用Android的添加联系人表单:

//this code works but it's not ideal
Intent i = new Intent(Intent.ACTION_INSERT_OR_EDIT);
i.setType(Contacts.CONTENT_ITEM_TYPE);
i.putExtra(Insert.NAME, "TESTTEST");
i.putExtra(Insert.PHONE, "209384");
startActivity(i);

我无法弄清楚如何发送它的名字和姓氏 - 它只是一个'名字',它放在名字框中.此外,我想将邮政编码分为街道,城市,州和邮政编码,现在这些都被放入街道邮箱.

我有一个带有meta标签的iPad webapp:

<meta name="apple-mobile-web-app-capable" content="yes">

当我从主页(支持Web应用程序的版本)打开应用程序或在Mobile Safari中输入地址时,localStorage的内容会有所不同.我已通过打印location.href确认地址相同.

使用Mobile Safari时对localStorage所做的所有更改都反映在支持Web应用程序的版本中,但在支持Web应用程序的版本中所做的更改不会反映在Mobile Safari版本中.

域名是相同的,localStorage应该是相同的.世界上到底发生了什么？这可以修复吗？

更新 - 解决方案:根据接受的答案提示#2(强制用户处于全屏模式),我添加了以下代码:

if(("standalone" in window.navigator) && !window.navigator.standalone)
    window.location = "instructions.html";

所以,如果你使用的是支持单机模式下的浏览器,你是不是在独立模式下,重定向到一个页面(instructions.html),这显示了用户如何将应用程序添加到主屏幕.

感谢大家的投入!

是否可以将Worklight Server部署到同时运行其他非Worklight .ear应用程序的WebSphere应用程序服务器？或者Worklight需要自己独立的WAS实例吗？