GWT CSRF保護remoteServlet方法はまだ行動における実験

Question

GWTドキュメントhttp://www.gwtproject.org/doc/latest/DevGuideSecurityRpcXsrf.html だけでなく、GWTとしてマーク https://manning-content.s3.amazonaws.com/download/d/07888ea-bada-44cc-9c55-ead15ea7fe85/GWT_sample-07.pdf ....サーバー側でクライアント側とXsrfProtectedServiceServletに

をXsrfProtectedServiceの延長をお勧めしますが、両方thse方法がまだあります とマークされています。実験的に変更される可能性があります。実稼動コードでは使用しないでください。

何がありますか？これは残されているのですか？それとも、今は生産で使用するのが安全ですか？

ご協力いただきありがとうございます。

Answer 1

ファイルは7年間で変更されていません。 Googleはコードを非常に控えめにしており、実際には生産準備ができているときには恐ろしい警告を表示したり、ベータ版としてマークしたりします。

つまり、すべてセキュリティの問題では、セキュリティレビューのために専門家にコードを提出する必要があります。この例ではJSESSIONIDの予測可能なハッシュを使用しているため、JSESSIONIDが正しく構成されていることを確認する必要があります。ドメインは、あなたのドメイン、安全であるとみなされるURL（つまり、プロフェッショナルなレビューが良い）でのみ閲覧できるように、ドメインを持っている必要があります（パスが必要です）。このクッキーが漏洩する可能性がある場合、攻撃者が悪用することは些細なことになります。