基于html+ajax+restful+soa架构的csrf解决方案
2013-11-12 21:22
281 查看
什么是csrf漏洞,请百度一下。本文在网上各位大神的想法的基础上,补充说明基于html+ajax+restful+soa架构的情况下,如果解决csrf漏洞
前提:
1、假设没有xss漏洞;
2、页面统一用html+js,不用jsp
整体采用token验证方式,
① 服务端添加filter。在mapping里配置需要拦截的请求。这个filter负责生成token、向redis集群中(或其他各个服务模块能够同时访问到的共享区域)写token,而不是向各自的session中写token;向cookie中写入token
1)说明生成token用java的uuid就可以了,这个已经足够随机;
2)解释一下“soa”,在我工作的场景中,同时run了两个virgo tomcat(osgi的应用),分别对外提供两种web服务,对于同一个用户来说,这两个服务公用一个token就可以了,不然页面需要针对两个应用暴露出来的接口分别添加token,增加了额外的工作
② 每个用户登录后,Js从cookie获取到token,放到http的header中,作为发送请求共用的header属性
③ 发请求不做特殊处理,header中的token自动追加到请求上
前提:
1、假设没有xss漏洞;
2、页面统一用html+js,不用jsp
整体采用token验证方式,
① 服务端添加filter。在mapping里配置需要拦截的请求。这个filter负责生成token、向redis集群中(或其他各个服务模块能够同时访问到的共享区域)写token,而不是向各自的session中写token;向cookie中写入token
1)说明生成token用java的uuid就可以了,这个已经足够随机;
2)解释一下“soa”,在我工作的场景中,同时run了两个virgo tomcat(osgi的应用),分别对外提供两种web服务,对于同一个用户来说,这两个服务公用一个token就可以了,不然页面需要针对两个应用暴露出来的接口分别添加token,增加了额外的工作
② 每个用户登录后,Js从cookie获取到token,放到http的header中,作为发送请求共用的header属性
③ 发请求不做特殊处理,header中的token自动追加到请求上
相关文章推荐
- 基于 SOA 架构的石化行业信息集成解决方案介绍
- 基于jQuery的AJAX和JSON实现纯html数据模板
- 基于dubbo从传统MVC架构转向SOA架构分布式设计2--(mvc->soa)
- AJAX应用--基于HTML,以GET或POST方式,检查注册用户名是否存在
- 大型分布式网站架构设计与实践 第一章《面向服务的体系架构(SOA)》1.1基于TCP协议的RPC
- 搭建基于spring MVC框架 + RESTful架构风格技术总结
- 基于云计算的SOA架构设计
- Spring之——quartz集群的问题及解决方案(基于Spring4.0+quartz2.2.1的集群架构)
- 一种完全基于开源实现的SOA架构
- 基于jQuery的AJAX和JSON实现纯html数据模板
- 基于webpack的前端工程化开发解决方案探索(一):动态生成HTML(转)
- RESTful架构及SOA架构简单解析
- 前端调用后端的方法(基于restful接口的mvc架构)
- [心得]高并发访问量下采用SOA架构异步交互的解决方案 - 纪念一个项目
- (转)基于Ajax的应用程序架构汇总
- 基于Ajax的应用程序架构汇总
- 基于云计算的SOA企业架构设计
- 基于dubbo从传统MVC架构转向SOA架构分布式设计2--(mvc->soa)
- SOA 治理框架和解决方案架构
- SOA 治理框架和解决方案架构