gpt4 book ai didi

java - DWR安全异常: HttpSessionId is blank in POST request

转载 作者:行者123 更新时间:2023-12-02 02:57:08 25 4
gpt4 key购买 nike

我正在尝试将 Tomcat 5.5 + JDK 5 升级到 Tomcat 8.5.x + JDK 1.7部署在此服务器上的应用程序是使用 FTL (2.3.4) + DWR(2.0.3) + Spring (2.5.5) 框架的旧应用程序

当部署在 Tomcat 8.5.6 + JDK 7 上时,我在从应用程序执行 POST 请求的一些操作中遇到错误。大多数这些操作都是 DWR 调用,用于过滤/操作屏幕上显示的数据。

屏幕上显示一条弹出消息“ session 错误”。在前端分析中,我发现完整的错误是 SecurityException,它会导致 SessionError。

Session Error - SecurityException

在服务器端调试时,我发现该请求被视为 CSRF 攻击,因此引发了此异常。DWR 检查 POST 请求正文中的 HTTP session ID,以验证请求是否存在 CSRF 可能性。所以在前端调试中我发现请求并没有发送POST body中的httpSessionId。

Request header and body如下所示。

我尝试在 DWR servlet 初始化中禁用 crossDomainSessionSecurity 参数。之后它工作得很好,但我不能继续处理它在生产环境中带来的安全风险。

由于这个问题,我无法继续进行 Tomcat 迁移。请建议我如何解决这个问题?

最佳答案

我正在检查 Tomcat 8 中的一些新功能。我读到从 Tomcat 6 开始,Tomcat 默认只允许 HTTP 请求。这意味着 useHttpOnly 标志默认为 true。这会导致 javascript 请求失败。在部署中,我尝试设置 useHttpOnly=”false”,之后应用程序工作正常。我这边会做更多的测试,所以现在我们可以考虑解决这个问题。

关于java - DWR安全异常: HttpSessionId is blank in POST request,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/42899637/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com