ОБНОВИТЬ : GWT 2.3 представляет лучший механизм для борьбы с атаками XSRF. Увидетьhttp://code.google.com/webtoolkit/doc/latest/DevGuideSecurityRpcXsrf.html

Механизм RPC GWT выполняет следующие действия в каждом HTTP-запросе:

Устанавливает два пользовательских заголовка запроса - X-GWT-Permutation и X-GWT-Module-BaseУстанавливает тип содержимого как text / x-gwt-rpc; кодировка = UTF-8

HTTP-запрос всегда является POST, и на стороне сервера методы GET выдают исключение (метод не поддерживается).

Кроме того, если эти заголовки не установлены или имеют неправильное значение, сервер не может выполнить обработку с исключением «возможно, CSRF?» Или что-то в этом роде.

Вопрос: достаточно ли этого для предотвращения CSRF? Есть ли способ установить пользовательские заголовки и изменить тип контента в чистом методе подделки межсайтовых запросов?