GWTPアプリケーションでXSRF攻撃が可能です。

Question

GWTPアプリケーション（app1）が別のGWTPアプリケーション（app2）を呼び出しています。最初はSecurityCookieを2番目に設定します。

app1が新しいセッションで、これがapp2を開くと、すべてが機能します。私は、ブラウザを閉じ、ブラウザのキャッシュを拭くことなく、新しいセッションではapp1をオンにすると、APP1はAPP2呼び出して、次のエラー出力します。それは、正確なソリューションを提供するのは難しいの詳細情報がなければ

SEVERE: Cookie provided by RPC does not match request cookie, aborting action, possible XSRF attack. (Maybe you forgot to set the security cookie?)

Answer 1

を、これは知られています新しいRPC要求が発行されるたびにRandomSecuritySessionFilterがCookieを変更するため、GWTPで問題が発生します。

this github issue hereを参照してください。むしろ長いですが、問題を理解したい場合は読んでおく価値があります。

自分のアプリでは、一度に約5つの非同期RPC呼び出しをディスパッチして、開発モードで同じエラーが発生していましたが、実際にはほとんど開発されていません（開発サーバーが非常に速く、よりランダムなファッション）。だから私は人生をとても難しくしていたので、私は開発モードでクッキーを消しました。