在添加了GWT RPC XSRF保护后,RPC调用中应该有什么不同?GWT RPC XSRF保护
我跟着这个职位(GWT (2.4.0) + XSRF和https://developers.google.com/web-toolkit/doc/latest/DevGuideSecurityRpcXsrf)中提到的变化,得到了GWT RPC XSRF上班,我看到我的RPC调用包裹在“com.google.gwt.user.client.rpc.XsrfToken”,然而我仍然可以拦截在提琴手中的请求,并改变请求让我得到其他东西,我想在这种保护之后,我将无法做到这一点?
我可以改变getFirstURL在Fidder酒店原始请求让我另一个有效参数,说:“getSecondURL”
http://127.0.0.1:8888/myapp/|AC7025AD520A4366B89A555020174220|com.google.gwt.user.client.rpc.XsrfToken/4254043109|EC4AE16148312F61EB4C4DA365F2F4B2|com.myapp.service.MyService|getFirstURL
谢谢汤姆,这有帮助!但是,那么我如何在原始RPC请求中模拟XSRF攻击,以及如何测试GWT RPC XSRF修复是否正常工作,需要一种方法来模拟这种攻击? – Jay 2013-05-14 13:53:57