我们有一个遗留的web应用程序(由5个模块组成)在tomcat 6中运行,并试图与HDIV集成。用户将从模块-1进行身份验证,为会话令牌创建cookie,并通过使用cookie和应用程序缓存中的身份验证信息使用过滤器验证用户来保护其他模块。
创建了单独的hdiv-config.xml,并通过相应模块中的web.xml进行配置。
在这种情况下,如何配置起始页URL?如果我们仅限于登录页面,其他模块将无法访问。如果我们配置允许所有页面作为开始页面,HDIV不包括_HDIV_STATE_param以保护CSRF。
看起来每个模块都在使用它赢得的HTTP会话。
我们希望保护所有模块免受跨站点请求伪造(CSRF)的影响,请提供相同的建议。
谢谢,Suresh
每个模块都需要自己的HDIV配置。
仅在模块-1中将登录url配置为起始页。
在其他模块中,仅将用于从一个模块移动到另一个模块的url定义为起始页。
模块内部URL(不会更改模块)可以受到HDIV的保护。