DWR出现的A request has been denied as a potential CSRF attack解决办法
程序员文章站
2022-06-13 08:54:21
...
学习DWR的时候,用的是DWR2.0.6版本和火狐浏览器,在做官方的Hello world 的时候,按照文档,做的如下配置:
但运行时出现以下错误:
Google了一把,发现很多人都出现了这个错误,其中网上的一个解决方法是:
修改web.xml文件,添加crossDomainSessionSecurity初始化参数,并设置其值为false,配置如下:
corssDomainSessionSecurity这个配置选项是在dwr版本2.0才有的,默认值为true,也就是禁止其他域发送请求,corssDomainSessionSecurity设置成false能够从其他域进行请求,这样做会在安全性上有一些冒险。
再用火狐测试时没有报上述错误,控制台打出如下信息:
但是确没有执行结果,既浏览器上没有弹出相应的信息。
用IE测时,IE浏览器报出如下错误:
难道是引入的js文件有问题,经过测试,最终发现了问题,在dwr.jar中的org.directwebremoting包中已经存在了engine.js和util.js,那是不是就不需要另外的再在工程中引入这两个文件。于是我把engine.js和util.js这两个文件和scripts文件夹从工程中删除,再把jsp中的引入方式改为如下的:
同时把web.xml中新增的crossDomainSessionSecurity配置项删除,既web.xml改为如下的:
然后再运行程序,正确执行。
<servlet> <servlet-name>dwr-invoker</servlet-name> <servlet-class>org.directwebremoting.servlet.DwrServlet</servlet-class> <init-param> <param-name>debug</param-name> <param-value>true</param-value> </init-param> </servlet> <servlet-mapping> <servlet-name>dwr-invoker</servlet-name> <url-pattern>/dwr/*</url-pattern> </servlet-mapping>
<script type="text/javascript" src="scripts/engine.js"></script> <script type="text/javascript" src="scripts/util.js"></script> <script type="text/javascript" src="dwr/interface/service.js"></script> <script type="text/javascript"> function firstDwr(){ service.sayHello("Tom",function(data){ alert(data); }); } </script>
但运行时出现以下错误:
2011-7-8 12:42:28 org.directwebremoting.util.CommonsLoggingOutput error 严重: A request has been denied as a potential CSRF attack.
Google了一把,发现很多人都出现了这个错误,其中网上的一个解决方法是:
修改web.xml文件,添加crossDomainSessionSecurity初始化参数,并设置其值为false,配置如下:
<servlet> <servlet-name>dwr-invoker</servlet-name> <servlet-class>org.directwebremoting.servlet.DwrServlet</servlet-class> <init-param> <param-name>debug</param-name> <param-value>true</param-value> </init-param> <init-param> <param-name>crossDomainSessionSecurity</param-name> <param-value>false</param-value> </init-param> </servlet> <servlet-mapping> <servlet-name>dwr-invoker</servlet-name> <url-pattern>/dwr/*</url-pattern> </servlet-mapping>
corssDomainSessionSecurity这个配置选项是在dwr版本2.0才有的,默认值为true,也就是禁止其他域发送请求,corssDomainSessionSecurity设置成false能够从其他域进行请求,这样做会在安全性上有一些冒险。
再用火狐测试时没有报上述错误,控制台打出如下信息:
2011-7-8 12:57:25 org.directwebremoting.util.CommonsLoggingOutput info 信息: Exec: service.sayHello()
但是确没有执行结果,既浏览器上没有弹出相应的信息。
用IE测时,IE浏览器报出如下错误:
消息: 例外被抛出且未被接住 行: 980 字符: 3 代码: 0 URI: http://localhost:8080/DwrTest/jslib/engine.js
难道是引入的js文件有问题,经过测试,最终发现了问题,在dwr.jar中的org.directwebremoting包中已经存在了engine.js和util.js,那是不是就不需要另外的再在工程中引入这两个文件。于是我把engine.js和util.js这两个文件和scripts文件夹从工程中删除,再把jsp中的引入方式改为如下的:
<script type="text/javascript" src="dwr/engine.js"></script> <script type="text/javascript" src="dwr/util.js"></script> <script type="text/javascript" src="dwr/interface/service.js"></script>
同时把web.xml中新增的crossDomainSessionSecurity配置项删除,既web.xml改为如下的:
<servlet> <servlet-name>dwr-invoker</servlet-name> <servlet-class>org.directwebremoting.servlet.DwrServlet</servlet-class> <init-param> <param-name>debug</param-name> <param-value>true</param-value> </init-param> </servlet> <servlet-mapping> <servlet-name>dwr-invoker</servlet-name> <url-pattern>/dwr/*</url-pattern> </servlet-mapping>
然后再运行程序,正确执行。
下一篇: 红肉蜜柚的功效和食用禁忌有哪些?