【每日一步】Tocat 7的七大特性：新特性与增强功能.docVIP

Tomcat 7的七大特性：新特性与增强功能 作者： Avneet Mangat 1. 使用 随机数令牌（nonce）来阻止跨站请求伪造(CSRF)攻击 Webopedia(在线计算机字典)这样定义跨站请求伪造(CSRF)：“一种恶意攻击基于web的应用程序。一次典型的恶意攻击将迫使用户在登录可信任站点的时候执行一些不必要的操作。”对CSRF更形象的定义是 session riding(子乌注：好吧，这个“更形象”的定义我实在看不懂……可参看session riding)。 阻止CSRF的典型做法就是使用随机数令牌，在wikipedia中对它的定义是“一个 用于认证协议的随机或伪随机数，以确保老的通信不会在重播攻击中被复用。” Tomcat 7 有一个servlet过滤器，用于在每次提交请求之后在用户的会话中保存一个随机数令牌。这个随机数令牌必须添加到后续的每一个请求中做为一个请求参数。这个servlet过滤器会检测这个请求参数是否与存储于用户会话中的随机数令牌一致。如果一致，请求就只能是来自指定站点。如果不同，这个请求会被认为是来自不同的站点并被拒绝。 servlet过滤器非常简单。这里有一个相关源码(来自 Apache Software Foundation CsrfPreventionFilter 文档)的片断: Language: Java public cl