Google app engine 使用oAuth的GAE端点上的CSRF
我希望在我的API中实现针对CSRF攻击的保护,我使用GAE端点开发了该API,所有方法都需要oAuth2 在实施任何特定保护之前,我正试图破坏我的应用程序(乍一看,CSRF看起来很简单)。但就是不能让它工作 当我在另一个页面中引用我的端点时,浏览器会添加cookie信息,但不会添加带有承载访问令牌的授权标头。这似乎还不够,因为我的端点会自动返回401,并带有Google app engine 使用oAuth的GAE端点上的CSRF,google-app-engine,google-oauth,csrf,google-cloud-endpoints,Google App Engine,Google Oauth,Csrf,Google Cloud Endpoints,我希望在我的API中实现针对CSRF攻击的保护,我使用GAE端点开发了该API,所有方法都需要oAuth2 在实施任何特定保护之前,我正试图破坏我的应用程序(乍一看,CSRF看起来很简单)。但就是不能让它工作 当我在另一个页面中引用我的端点时,浏览器会添加cookie信息,但不会添加带有承载访问令牌的授权标头。这似乎还不够,因为我的端点会自动返回401,并带有www-authenticate:Bearer-realm=”https://accounts.google.com/“标题 正如我所说,
www-authenticate:Bearer-realm=”https://accounts.google.com/“package com.kuoll.server.filters;
import javax.servlet.*;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
public class CrossOriginFilter implements Filter {
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
HttpServletResponse resp = (HttpServletResponse) response;
resp.addHeader("Access-Control-Allow-Origin", "*");
resp.setHeader("Access-Control-Allow-Methods", "POST, OPTIONS");
resp.setHeader("Access-Control-Allow-Headers", "origin, content-type, accept");
chain.doFilter(request, response);
}
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void destroy() {
}
}
中的*
替换为相应的addHeader(“访问控制允许原点“,“*””)到您的原点(如果需要)
web.xml
<filter-mapping>
<filter-name>CrossOriginFilter</filter-name>
<url-pattern>/api/*</url-pattern>
</filter-mapping>
交叉源滤波器
/原料药/*
不确定您是否看到了注释中链接的文章,但(如果我理解正确的话)OAuth2 CSRF不是问题。我可能错了,如果你在其他地方找到任何答案,请分享(;你所说的“当我在另一个页面中引用我的端点时,浏览器会添加cookie信息,但不会使用承载访问令牌添加授权标头”的具体含义是什么?你能显示代码吗?在应用程序引擎中设置过滤器中的标题不起作用…但无论如何,你没有说任何关于CSRF的内容…正如我所说,我正在寻找如何在盲目实施任何修复之前破坏我的应用程序(或证明我实际上已经受到保护)。但是感谢您提供的链接是关于针对OAuth授权服务器的CSRF攻击,但是OAuth2令牌是否可以保护我的应用服务器免受此类攻击?