针对CSRF跨站请求伪造,JFinal-layui主要是对添加、修改的业务表单加入token验证机制,这样就可以解决重要业务操作的安全性。我们的拦截是全局验证拦截,在开发功能过程中就是顺手做的事情,简单高效。
1、因为在后端统一对save()、update()进行了token认证拦截,所以在开发添加、修改功能过程中,记得在表单中输出token:#(token)
2、如果是其他的方法需要用到token认证,首先就要在进入页面的方法调用createToken(),然后在数据提交的方法上面调用@Before(TokenValidator.class),如修改密码表单的token认证实现如下:
- /**
- * 在页面方法创建token
- */
- public void myPassword(){
- createToken();
- setAttr("userCode",getVisitor().getCode());
- render("my/password.html");
- }
- /**
- * 修改个人密码(验证token)
- */
- @Before(TokenValidator.class)
- public void updateMypassword(){
- Visitor vs=getVisitor();
- if(!vs.getCode().equals(getPara("userCode"))){
- getResponse().setStatus(403);
- renderError(403);
- }
- String oldPassword=getPara("oldPassword");
- String newPassword=getPara("newPassword");
- try {
- oldPassword=RSAKit.decryptionToString(oldPassword);
- newPassword=RSAKit.decryptionToString(newPassword);
- } catch (Exception e) {
- handerException(e);
- }
- boolean b=service.updatePassword(vs.getCode(), newPassword, oldPassword);
- if(b){
- setAttr("msg", "密码修改成功");
- }else{
- createToken();
- setException("原密码错误,密码修改失败");
- }
- setAttr("userCode", vs.getCode());
- render("my/password.html");
- }
最后就是在修改密码页面的form表单输出token:
