jquery - 如何在 Struts2 应用程序中对 AJAX 请求进行 CSRF 保护

Question

我有一个struts2 webapp，我需要在其中实现CSRF保护。对于统计表格来说，这是非常简单的。我只需要激活 tokenSession拦截器然后设置<s:token/>在要提交的表格中。 (解释here和here)

但是当我需要为 POST AJAX 调用(我使用的是 jQuery)启用 CSRF 保护(这些调用不一定通过表单提交)时，就会出现问题。我在进行后续 AJAX 调用时面临重新使用 token 的问题。

任何指针或不同的方法都值得赞赏。

Answer 1

目前，我已经通过为 AJAX 请求生成 token 并使用正常响应发送它来解决该问题 -

    Map<String, String> tokenInfo = Maps.newHashMap();
    tokenInfo.put("struts.token.name", TokenHelper.getTokenName());
    tokenInfo.put(TokenHelper.getTokenName(), TokenHelper.setToken());

我将从中抽象出一个 util 方法，并使用 token 激活的操作来返回此方法，作为操作响应的一部分，这些操作将在不刷新页面的情况下重复执行。

不过，我仍在寻找一个优雅的解决方案。