系统介绍:
系统使用webwork2.2 + spring + ibatis ,页面采用velocity进行渲染。
碰到的问题:
最近在搞系统安全方面的问题,要修复csrf漏洞。做法是在对应的表单和相应域里植入token,在表单提交的时候,对表单的隐藏域token和cookie中的对应值比对,如果是匹配,那么是合法的,否则为非法的。
在实施的过程中发现有一些页面能校验通过,有一些不能通过校验。
问题排查和解决:
我发现http response 在写数据的时候会有这样的的判断:
1. response 会首先把数据append 到Buffer中,该buffer大小为(8192字节)
2. 如果数据累计达到 8192 字节后,response 会直接写入到 response.ServletOutputStream 中,同时把 isCommited 设置为 true
3. 我们有一些页面中的 $csrfToken.hiddenField 在文本的8192字节之后,故此时response.isCommited = true,所以无法写入Cookie。而其他一些页面中 $csrfToken.hiddenField 在文本的8192字节之前,就没有问题。
4. 现在如果把$csrfToken.hiddenField分成两步来做,A.在页面顶端 #set($csrfStr = $csrfToken.hiddenField ) B.在对应的form中增加:$csrfStr
ok,问题到此解决。