GWT RPC - Достаточно ли этого для защиты от CSRF?
ОБНОВИТЬ : GWT 2.3 представляет лучший механизм для борьбы с атаками XSRF. Увидетьhttp://code.google.com/webtoolkit/doc/latest/DevGuideSecurityRpcXsrf.html
Механизм RPC GWT выполняет следующие действия в каждом HTTP-запросе:
Устанавливает два пользовательских заголовка запроса - X-GWT-Permutation и X-GWT-Module-BaseУстанавливает тип содержимого как text / x-gwt-rpc; кодировка = UTF-8HTTP-запрос всегда является POST, и на стороне сервера методы GET выдают исключение (метод не поддерживается).
Кроме того, если эти заголовки не установлены или имеют неправильное значение, сервер не может выполнить обработку с исключением «возможно, CSRF?» Или что-то в этом роде.
Вопрос: достаточно ли этого для предотвращения CSRF? Есть ли способ установить пользовательские заголовки и изменить тип контента в чистом методе подделки межсайтовых запросов?