我思故我强

写dwr demo的时候跳出session error的解决

dwr写demo的时候遇到的一个问题,跳出session error
问题描述:
前台页面跳出session error的对话框
而控制台则输出:
2007-5-29 11:58:53 org.directwebremoting.util.CommonsLoggingOutput error
严重: A request has been denied as a potential CSRF attack.
的错误信息.
请求被拒绝因为可能存在csrf(cross-site request forgeries,跨站请求伪造)攻击.
也就是说页面URL可能被跨站了的服务所调用.
例如:自己页面的一个图片.可能被其他站直接通过[img]....[/img]来引用.

页面则显示

解决方法:
在web.xml配置文件中..
dwr的配置

< servlet >
   < servlet-name > dwr-invoker </ servlet-name >
   < servlet-class > org.directwebremoting.servlet.DwrServlet </ servlet-class >
   < init-param >
    < param-name > debug </ param-name >
    < param-value > true </ param-value >
   </ init-param >
   < init-param >    
             < param-name > crossDomainSessionSecurity </ param-name >    
             < param-value > false </ param-value >    
         </ init-param >
  </ servlet >


加入corssDomainSessionSecurity这个配置选项..这个参数是在dwr版本2.0才有的.默认值为true,也就是

禁止其他域发送请求.
corssDomainSessionSecurity:设置成false能够从其他域进行请求.注意这样做会在安全性上有一些冒险.

posted on 2007-11-01 14:06 李云泽 阅读(546) 评论(0)  编辑  收藏 所属分类: DWR(Ajax)


只有注册用户登录后才能发表评论。
网站导航: