我正在開發一個帶有GWT和GWTP的Web應用程序。我看着wiki page of GWTP,並按照指示做防XSRF攻擊。它在Dev模式下運行正常。GWTP防範XSRF攻擊
現在我將它部署到Tomcat服務器。但是在控制檯中,它一直告訴我在RPC中客戶端沒有發送cookie。結果是沒有RPC調用能夠執行,因爲它被認爲是XSRF攻擊。
誰能告訴我它有什麼問題嗎?是否因爲Tomcat設置,因爲應用程序在Dev模式下運行正常。
我想,這是不是從GWTP,這件事情關係到你的Tomcat
中的Tomcat 7的會話和SSO的cookie被默認使用的HttpOnly標誌發送,以指示瀏覽器阻止訪問這些cookie來自JavaScript。 (這可以在Tomcat 6.0和5.5中通過在Web應用程序的Context元素或全局CATALINA_BASE/conf/context.xml文件中設置useHttpOnly =「true」)來啓用。 http://tomcat.apache.org/migration.html#Session_cookie_configuration
所以,請檢查您是否context.xml的是這樣的:
<Context cookies="true" useHttpOnly="false" >
<WatchedResource>WEB-INF/web.xml</WatchedResource>
</Context>
應中HTTPOnly標誌來對會話Cookie設置,以防止客戶 端腳本訪問會話ID?默認爲true。