DWR出现的A request has been denied as a potential CSRF attack解决办法

ymgjava

浏览: 22765 次
性别:
来自: 北京

最近访客更多访客>>

jk_zero

JevonZhang8

wyqhl

linuxzhang

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

DWR

学习DWR的时候，用的是DWR2.0.6版本和火狐浏览器，在做官方的Hello world 的时候，按照文档，做的如下配置：

<servlet>		
    <servlet-name>dwr-invoker</servlet-name>
    <servlet-class>org.directwebremoting.servlet.DwrServlet</servlet-class>
    <init-param>
        <param-name>debug</param-name>
        <param-value>true</param-value>
    </init-param>
</servlet>    
<servlet-mapping>
    <servlet-name>dwr-invoker</servlet-name>
    <url-pattern>/dwr/*</url-pattern>
</servlet-mapping>

<script type="text/javascript" src="scripts/engine.js"></script>
<script type="text/javascript" src="scripts/util.js"></script>
<script type="text/javascript" src="dwr/interface/service.js"></script>
<script type="text/javascript">
    function firstDwr(){
	  service.sayHello("Tom",function(data){
	      alert(data);
	  });
    }
</script>

但运行时出现以下错误：

2011-7-8 12:42:28 org.directwebremoting.util.CommonsLoggingOutput error
严重: A request has been denied as a potential CSRF attack.

Google了一把，发现很多人都出现了这个错误，其中网上的一个解决方法是：
修改web.xml文件，添加crossDomainSessionSecurity初始化参数，并设置其值为false，配置如下：

<servlet>		
    <servlet-name>dwr-invoker</servlet-name>
    <servlet-class>org.directwebremoting.servlet.DwrServlet</servlet-class>
    <init-param>
        <param-name>debug</param-name>
        <param-value>true</param-value>
    </init-param>
    <init-param>      
        <param-name>crossDomainSessionSecurity</param-name>      
        <param-value>false</param-value>      
    </init-param>
</servlet>    
<servlet-mapping>
    <servlet-name>dwr-invoker</servlet-name>
    <url-pattern>/dwr/*</url-pattern>
</servlet-mapping>

corssDomainSessionSecurity这个配置选项是在dwr版本2.0才有的，默认值为true，也就是禁止其他域发送请求，corssDomainSessionSecurity设置成false能够从其他域进行请求，这样做会在安全性上有一些冒险。
再用火狐测试时没有报上述错误，控制台打出如下信息：

2011-7-8 12:57:25 org.directwebremoting.util.CommonsLoggingOutput info
信息: Exec: service.sayHello()

但是确没有执行结果，既浏览器上没有弹出相应的信息。
用IE测时，IE浏览器报出如下错误：

消息: 例外被抛出且未被接住
行: 980
字符: 3
代码: 0
URI: http://localhost:8080/DwrTest/jslib/engine.js

难道是引入的js文件有问题，经过测试，最终发现了问题，在dwr.jar中的org.directwebremoting包中已经存在了engine.js和util.js，那是不是就不需要另外的再在工程中引入这两个文件。于是我把engine.js和util.js这两个文件和scripts文件夹从工程中删除，再把jsp中的引入方式改为如下的：

<script type="text/javascript" src="dwr/engine.js"></script>
<script type="text/javascript" src="dwr/util.js"></script>
<script type="text/javascript" src="dwr/interface/service.js"></script>

同时把web.xml中新增的crossDomainSessionSecurity配置项删除，既web.xml改为如下的：

<servlet>		
    <servlet-name>dwr-invoker</servlet-name>
    <servlet-class>org.directwebremoting.servlet.DwrServlet</servlet-class>
    <init-param>
        <param-name>debug</param-name>
        <param-value>true</param-value>
    </init-param>
</servlet>    
<servlet-mapping>
    <servlet-name>dwr-invoker</servlet-name>
    <url-pattern>/dwr/*</url-pattern>
</servlet-mapping>

然后再运行程序，正确执行。

分享到：

Spring 2.5整合DWR 2.06 | Spring 2.5整合iBATIS 2.3并使用Spring的声 ...

2011-07-08 14:02
浏览 2416
评论(0)
分类:编程语言
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论