DWR出现的A request has been denied as a potential CSRF attack解决办法
学习DWR的时候,用的是DWR2.0.6版本和火狐浏览器,在做官方的Hello world 的时候,按照文档,做的如下配置:
但运行时出现以下错误:
Google了一把,发现很多人都出现了这个错误,其中网上的一个解决方法是:
修改web.xml文件,添加 crossDomainSessionSecurity初始化参数,并设置其值为 false,配置如下:
corssDomainSessionSecurity这个配置选项是在dwr版本2.0才有的,默认值为true,也就是禁止其他域发送请求,corssDomainSessionSecurity设置成false能够从其他域进行请求,这样做会在安全性上有一些冒险。
再用火狐测试时没有报上述错误,控制台打出如下信息:
但是确没有执行结果,既浏览器上没有弹出相应的信息。
用IE测时,IE浏览器报出如下错误:
难道是引入的js文件有问题,经过测试,最终发现了问题,在dwr.jar中的org.directwebremoting包中已经存在了engine.js和util.js,那是不是就不需要另外的再在工程中引入这两个文件。于是我把engine.js和util.js这两个文件和scripts文件夹从工程中删除,再把jsp中的引入方式改为如下的:
同时把web.xml中新增的crossDomainSessionSecurity配置项删除,既web.xml改为如下的:
然后再运行程序,正确执行。
<servlet>
<servlet-name>dwr-invoker</servlet-name>
<servlet-class>org.directwebremoting.servlet.DwrServlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>true</param-value>
</init-param>
</servlet>
<servlet-mapping>
<servlet-name>dwr-invoker</servlet-name>
<url-pattern>/dwr/*</url-pattern>
</servlet-mapping>
<script type="text/javascript" src="scripts/engine.js"></script>
<script type="text/javascript" src="scripts/util.js"></script>
<script type="text/javascript" src="dwr/interface/service.js"></script>
<script type="text/javascript">
function firstDwr(){
service.sayHello("Tom",function(data){
alert(data);
});
}
</script>
但运行时出现以下错误:
2011-7-8 12:42:28 org.directwebremoting.util.CommonsLoggingOutput error 严重: A request has been denied as a potential CSRF attack.
Google了一把,发现很多人都出现了这个错误,其中网上的一个解决方法是:
修改web.xml文件,添加 crossDomainSessionSecurity初始化参数,并设置其值为 false,配置如下:
<servlet>
<servlet-name>dwr-invoker</servlet-name>
<servlet-class>org.directwebremoting.servlet.DwrServlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>crossDomainSessionSecurity</param-name>
<param-value>false</param-value>
</init-param>
</servlet>
<servlet-mapping>
<servlet-name>dwr-invoker</servlet-name>
<url-pattern>/dwr/*</url-pattern>
</servlet-mapping>
corssDomainSessionSecurity这个配置选项是在dwr版本2.0才有的,默认值为true,也就是禁止其他域发送请求,corssDomainSessionSecurity设置成false能够从其他域进行请求,这样做会在安全性上有一些冒险。
再用火狐测试时没有报上述错误,控制台打出如下信息:
2011-7-8 12:57:25 org.directwebremoting.util.CommonsLoggingOutput info 信息: Exec: service.sayHello()
但是确没有执行结果,既浏览器上没有弹出相应的信息。
用IE测时,IE浏览器报出如下错误:
消息: 例外被抛出且未被接住 行: 980 字符: 3 代码: 0 URI: http://localhost:8080/DwrTest/jslib/engine.js
难道是引入的js文件有问题,经过测试,最终发现了问题,在dwr.jar中的org.directwebremoting包中已经存在了engine.js和util.js,那是不是就不需要另外的再在工程中引入这两个文件。于是我把engine.js和util.js这两个文件和scripts文件夹从工程中删除,再把jsp中的引入方式改为如下的:
<script type="text/javascript" src="dwr/engine.js"></script> <script type="text/javascript" src="dwr/util.js"></script> <script type="text/javascript" src="dwr/interface/service.js"></script>
同时把web.xml中新增的crossDomainSessionSecurity配置项删除,既web.xml改为如下的:
<servlet>
<servlet-name>dwr-invoker</servlet-name>
<servlet-class>org.directwebremoting.servlet.DwrServlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>true</param-value>
</init-param>
</servlet>
<servlet-mapping>
<servlet-name>dwr-invoker</servlet-name>
<url-pattern>/dwr/*</url-pattern>
</servlet-mapping>
然后再运行程序,正确执行。