jueves, 23 de abril de 2009

Error: A request has been denied as a potential CSRF attack

Hace poco obtuve ese mensaje de error en una aplicación portal que invocaba web services que estaban en un was remoto, esta llamada se hacia mediante DWR (Direct Web Remoting).

Como arreglar esto pues editando el archivo web.xml de la aplicación que hace la llamada agregando el tag crossDomainSessionSecurity el cual permite efectuar llamadas desde distintos dominios.

Nuestro web.xml quedaría de la siguiente forma:

<servlet>
    <servlet-name>dwr</servlet-name>
    <display-name>DWR Servlet</display-name>
    <servlet-class>org.directwebremoting.servlet.DwrServlet</servlet-class>
    <init-param>
        <param-name>debug</param-name>
        <param-value>true</param-value>
    </init-param>
    <init-param>
        <param-name>crossDomainSessionSecurity</param-name>
        <param-value>false</param-value>
    </init-param>
</servlet>

1 comentario:

Sara Reid dijo...

CSRF is an attack which forces an end user to execute unwanted actions on a web application in which he/she is currently authenticated. With a little help of social engineering, an attacker may force the users of a web application to execute actions of the attacker's choosing. A successful CSRF exploit can compromise end user data and operation in case of normal user. If the targeted end user is the administrator account, this can compromise the entire web application.

16gb micro sd karte