欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

DWR出现的A request has been denied as a potential CSRF attack解决办法

程序员文章站 2022-06-13 09:09:09
...
学习DWR的时候,用的是DWR2.0.6版本和火狐浏览器,在做官方的Hello world 的时候,按照文档,做的如下配置:
<servlet>		
    <servlet-name>dwr-invoker</servlet-name>
    <servlet-class>org.directwebremoting.servlet.DwrServlet</servlet-class>
    <init-param>
        <param-name>debug</param-name>
        <param-value>true</param-value>
    </init-param>
</servlet>    
<servlet-mapping>
    <servlet-name>dwr-invoker</servlet-name>
    <url-pattern>/dwr/*</url-pattern>
</servlet-mapping>

<script type="text/javascript" src="scripts/engine.js"></script>
<script type="text/javascript" src="scripts/util.js"></script>
<script type="text/javascript" src="dwr/interface/service.js"></script>
<script type="text/javascript">
    function firstDwr(){
	  service.sayHello("Tom",function(data){
	      alert(data);
	  });
    }
</script>

但运行时出现以下错误:
2011-7-8 12:42:28 org.directwebremoting.util.CommonsLoggingOutput error
严重: A request has been denied as a potential CSRF attack.

Google了一把,发现很多人都出现了这个错误,其中网上的一个解决方法是:
修改web.xml文件,添加crossDomainSessionSecurity初始化参数,并设置其值为false,配置如下:
<servlet>		
    <servlet-name>dwr-invoker</servlet-name>
    <servlet-class>org.directwebremoting.servlet.DwrServlet</servlet-class>
    <init-param>
        <param-name>debug</param-name>
        <param-value>true</param-value>
    </init-param>
    <init-param>      
        <param-name>crossDomainSessionSecurity</param-name>      
        <param-value>false</param-value>      
    </init-param>
</servlet>    
<servlet-mapping>
    <servlet-name>dwr-invoker</servlet-name>
    <url-pattern>/dwr/*</url-pattern>
</servlet-mapping>

corssDomainSessionSecurity这个配置选项是在dwr版本2.0才有的,默认值为true,也就是禁止其他域发送请求,corssDomainSessionSecurity设置成false能够从其他域进行请求,这样做会在安全性上有一些冒险。
再用火狐测试时没有报上述错误,控制台打出如下信息:
2011-7-8 12:57:25 org.directwebremoting.util.CommonsLoggingOutput info
信息: Exec: service.sayHello()

但是确没有执行结果,既浏览器上没有弹出相应的信息。
用IE测时,IE浏览器报出如下错误:
消息: 例外被抛出且未被接住
行: 980
字符: 3
代码: 0
URI: http://localhost:8080/DwrTest/jslib/engine.js

难道是引入的js文件有问题,经过测试,最终发现了问题,在dwr.jar中的org.directwebremoting包中已经存在了engine.js和util.js,那是不是就不需要另外的再在工程中引入这两个文件。于是我把engine.js和util.js这两个文件和scripts文件夹从工程中删除,再把jsp中的引入方式改为如下的:
<script type="text/javascript" src="dwr/engine.js"></script>
<script type="text/javascript" src="dwr/util.js"></script>
<script type="text/javascript" src="dwr/interface/service.js"></script>

同时把web.xml中新增的crossDomainSessionSecurity配置项删除,既web.xml改为如下的:
<servlet>		
    <servlet-name>dwr-invoker</servlet-name>
    <servlet-class>org.directwebremoting.servlet.DwrServlet</servlet-class>
    <init-param>
        <param-name>debug</param-name>
        <param-value>true</param-value>
    </init-param>
</servlet>    
<servlet-mapping>
    <servlet-name>dwr-invoker</servlet-name>
    <url-pattern>/dwr/*</url-pattern>
</servlet-mapping>

然后再运行程序,正确执行。
相关标签: DWR