我已经设置了我的 Web 应用程序,通过在 faces-config、protected-views 中列出各个页面来防止 CSRF。
这在本地运行时效果很好,但在部署到服务器后,我最终在打开页面链接时收到这些错误:
javax.faces.application.ProtectedViewException: JSF1099: Referer [sic] header value http://[redacted]/finance/commitmentregister/search.xhtml?javax.faces.Token=1534344211116 does not appear to be a protected view. Preventing display of viewId /finance/commitmentregister/view.xhtml
at com.sun.faces.lifecycle.RestoreViewPhase.maybeTakeProtectedViewAction(Unknown Source)
at com.sun.faces.lifecycle.RestoreViewPhase.execute(Unknown Source)
at com.sun.faces.lifecycle.Phase.doPhase(Unknown Source)
at com.sun.faces.lifecycle.RestoreViewPhase.doPhase(Unknown Source)
at com.sun.faces.lifecycle.LifecycleImpl.execute(Unknown Source)
我们在本地和测试服务器上运行 Apache Tomcat 7。
Edit:
我注意到链接上生成的网址如下所示:
其中 token 是 CSRF javax.faces.Token,p 是发送的 url 参数。
错误消息显示带有令牌但不带 p 的 url。就像它期望带有令牌的 url 是 faces-config 中列出的受保护页面 url 一样。
也就是说,faces-config 有:
<protected-views>
<url-pattern>/page.xhtml</url-pattern>
</protected-views>
但它期待 page.xhtml?token=123
进一步编辑:
我们刚刚注意到,只有在新选项卡中打开页面时才会发生此错误。使用 target="_blank" 属性生成的链接。将 URL 复制到剪贴板并将其粘贴到新选项卡地址栏中可以正确加载页面。
注意到它只在新标签上崩溃,这给了我更多信息来研究这个问题。
将其添加到链接中可以修复它:
rel="noopener noreferrer"
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
