dwr的A request has been denied as a potential CSRF attack.错误

前端之家收集整理的这篇文章主要介绍了dwr的A request has been denied as a potential CSRF attack.错误前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

@H_301_1@原文地址:http://persevere.iteye.com/blog/550004

dwr的A request has been denied as a potential CSRF attack.错误

@H_301_1@虽然DWR是个很早就出现的Ajax框架,但一直都没去使用过,今天正好没事就看了一下并参照文档照做了个demo,

@H_301_1@在其中碰到一个问题:

@H_301_1@ 后台打印出错误信息:“严重: A request has been denied as a potential CSRF attack.” 在网上google一把

@H_301_1@之后,出现此错误的原因大都是说“请求被拒绝,可能存在csrf(cross-site request forgeries,跨站请求伪造)攻击、

@H_301_1@页面URL可能被跨站了的服务所调用之类的”,但是我这里只有一个简单的测试页面,是根本不存在什么所谓的跨站请求的,

@H_301_1@但不知道为什么?希望有知道的朋友告诉一下我,万谢!

@H_301_1@

@H_301_1@ 不过最后还是通过网上搜索解决了,得到以下两种解决方案:

@H_301_1@ 1、在web.xml配置文件修改dwr的配置:

@H_301_1@Xml代码
  1. @H_301_1@<servlet>
  2. servlet-name>dwr-invoker</servlet-class>org.directwebremoting.servlet.DwrServletinit-paramparam-name>debugparam-value>true @H_301_1@<!--新加coRSSDomainSessionSecurity参数-->
  3. >crossDomainSessionSecurity>false>

@H_301_1@ 据说参数coRSSDomainSessionSecurity是在dwr版本2.0才有的.默认值为true,也就是禁止其他域发送请求.若设置成false后,就能够从其他域进行请求但这样做会在安全性上有一些冒险.

@H_301_1@

@H_301_1@ 2、将JSP文件中所引用的js文件engine.js的方式,由<script type="text/javascript" src="js/engine.js"></script>更改成:<script type="text/javascript" src="dwr/engine.js"></script>。不知道为什么这样就可以啦,而

@H_301_1@引用js目录下就会报错。希望有知道朋友,不吝赐教,在下感激不尽!

猜你在找的Ajax相关文章