Protección GWT y XSRF

Estoy buscando posibles soluciones para proteger mi aplicación GWT contra XSRF.Protección GWT y XSRF

Si entiendo correctamente GWT's solution, pone a su disposición un Servlet que utiliza tanto para generar el token en el lado del cliente (cuando llama a su punto extremo RPC) como para validar en el lado del servidor (cuando la llamada llega a su servicio)

¿Esta solución solo atiende llamadas RPC? Seguramente necesitamos que cubra todas las solicitudes generadas por el usuario al servidor?

¿Alguna otra solución recomendada de XSRF (también estoy buscando OWASP's CSRFGuard)?

Fuente

2011-06-06 Markus Coetzee

¿Qué tipos de solicitudes generadas por el usuario está usando además de GWT RPC? –

Tenemos algunos servlets, un repositorio de Jack Rabbit, etc., que el usuario puede generar solicitudes. –

Modifiqué la aplicación de muestra GWT para protegerla contra XSRF. Esta solución se basa más o menos en la solución proporcionada en los documentos para desarrolladores de GWT. http://code.google.com/p/xsrf-safe/

Fuente

2011-06-12 03:17:05

Miré su solución, lo que estoy vagando, ¿dónde crea y maneja la cookie en el lado del cliente? Como no uso las aplicaciones de Google, ¿cómo puedo usar la cookie JSESSIONID, que no tiene ningún valor, dónde establece el valor de la cookie y cómo maneja la cookie ... puede explicar esto, o señalarme a un enlace? tnx – Darwly

"La cookie JSESSIONID se crea/envía cuando se crea la sesión. La sesión se crea cuando el código llama a request.getSession() o request.getSession (true) por primera vez." -http: //stackoverflow.com/questions/595872/under-what-conditions-is-a-jsessionid-created –

En el ejemplo request.getSession() se llama en Xsrf_Safe.jsp http://code.google.com /p/xsrf-safe/source/browse/trunk/war/Xsrf_Safe.jsp –

Respuesta

Cuestiones relacionadas