在涉及到关键业务操作的web页面,应为当前web页面生成一次性随机令牌,作为主会话标识的补充。在执行关键业务前,应确保用户提交的一次性随机令牌与服务器端保存的一次性随机令牌匹配,以避免跨站请求伪造(CSRF)等攻击。
1、在公共JS中定义一个function 用来生成token ,然后将生成的token赋值给JSP里的隐藏域<input id="tokenValue" type="hidden"/>
前端jsp:
<html>
<body style="background-color:#f8f8f8">
<div class="content">
<!-- 页面存储的token值 -->
<input id="tokenValue" type="hidden"/>
</div>
</body>
<script type="text/javascript">
$(document).ready(function(){
//生成token
makeToken();
});
var dom='{"login_type":"01","oldpwd":"'+oldpwd+'",newpwd:"'+newpwd+'",name:"'+name+'",id_nbr:"'+id_nbr