Session Error(DWR)
問題描述:
dwr的Session Error問題
前臺頁面跳出session error的對話框
而控制檯則輸出:
2007-5-29 11:58:53 org.directwebremoting.util.CommonsLoggingOutput error
嚴重: A request has been denied as a potential CSRF attack.
的錯誤信息.
請求被拒絕由於可能存在csrf(cross-site request forgeries,跨站請求僞造)攻擊.
也就是說頁面URL可能被跨站了的服務所調用.
dwr的Session Error問題
前臺頁面跳出session error的對話框
而控制檯則輸出:
2007-5-29 11:58:53 org.directwebremoting.util.CommonsLoggingOutput error
嚴重: A request has been denied as a potential CSRF attack.
的錯誤信息.
請求被拒絕由於可能存在csrf(cross-site request forgeries,跨站請求僞造)攻擊.
也就是說頁面URL可能被跨站了的服務所調用.
在web.xml配置文件中dwr的配置加入corssDomainSessionSecurity這個配置選項..這個參數是在dwr版本2.0纔有的.默認值爲true,也就是禁止其餘域發送請求.corssDomainSessionSecurity:設置成false可以從其餘域進行請求.注意這樣作會在安全性上有一些冒險.web
<servlet>
<servlet-name>dwr-invoker</servlet-name>
<servlet-class>uk.ltd.getahead.dwr.DWRServlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>crossDomainSessionSecurity</param-name>
<param-value>false</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>dwr-invoker</servlet-name>
<url-pattern>/dwr/*</url-pattern>
</servlet-mapping>
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
