jakarta-ee - CSRFGuard 在脚本标签中加载 javascript 注入

问题描述

我正在尝试使用 CSRFGuard API 来修复我的应用程序中的 CSRF 漏洞。为此，我使用 Javascript 注入来做到这一点。

我这样做是通过在我的 jsp 中包含以下行来实现的：

<script type="text/javascript" src="javascriptservlet"></script>

当我使用 localhost 运行它时，它会完美地加载到浏览器中。但是当我在服务器上托管我的应用程序时，它不会被加载。我查看了响应标题，它说

The origin server did not find a current representation for the target resource or is not willing to disclose that one exists

我试图改变脚本标签，如：

<script type="text/javascript" src="https://<servername>:<port>/appcontext/javascriptservlet"></script>

但我在响应标头中得到相同的结果，并且来自“javascriptservlet”的响应没有加载到作为 JavaScript 的浏览器中。

此外，当我在浏览器的地址栏中点击 url 时，我成功获得了 Javascript 的响应，但是当从标签引用时它无法加载 Javascript

我真的被这件事困住了。任何帮助将非常感激。

标签： jakarta-eecsrfowasp