私はGWTとGWTPを使ってWebアプリケーションを開発しています。私はwiki page of GWTPを調べて、XSRF攻撃からの保護を指示に従います。これはDevモードで正常に動作します。GWTP XSRF攻撃からの保護
私はTomcat Serverにそれを配備しました。しかし、コンソールでは、RPCでクライアントから送信されたCookieがないことを伝え続けます。その結果、RPCコールはXSRF攻撃と見なされるため実行できません。
誰にでも何が問題なのか教えてください。アプリはDevモードで正常に動作するので、Tomcat設定のためですか?
私は、これはGWTPからのものではない、それはTomcatの7中のセッションとSSOクッキーがこれらのクッキーへのアクセスを防止するために、ブラウザに指示するために、デフォルトでHttpOnlyのフラグで送信されているあなたのTomcat
に関連する何かだと思いますJavaScriptから。 (これは、WebアプリケーションのContext要素またはグローバルなCATALINA_BASE/conf/context.xmlファイルでuseHttpOnly = "true"を設定することでTomcat 6.0および5.5で有効にすることができます)。だから、 http://tomcat.apache.org/migration.html#Session_cookie_configuration
、このようなものかどうか、あなたのcontext.xmlを確認してください。
<Context cookies="true" useHttpOnly="false" >
<WatchedResource>WEB-INF/web.xml</WatchedResource>
</Context>
がHttpOnlyのフラグはセッションIDにアクセスするクライアント 側のスクリプトを防ぐために、セッションCookieに設定する必要がありますか。デフォルトはtrueです。