Der Referrer-Filter funktioniert wie folgt:
Der LiveCycle-Server prüft die für den Aufruf verwendete HTTP-Methode:
Bei POST prüft der LiveCycle-Server den Referrer-Header.
Bei GET umgeht der LiveCycle-Server die Referrer-Prüfung, es sei denn, CSRF_CHECK_GETS ist auf „true“ festgelegt. In diesem Fall wird der Referrer-Header überprüft. CSRF_CHECK_GETS ist in der Datei web.xml für Ihre Anwendung festgelegt.
Der LiveCycle-Server prüft, ob die angeforderten URI in der Positivliste eingetragen ist:
Wenn die URI in der Positivliste eingetragen ist, akzeptiert der Server die Anforderung.
Wenn die angeforderte URI nicht in der Positivliste eingetragen ist, ruft der Server den Referrer der Anforderung ab.
Wenn in der Anforderung ein Referrer angegeben ist, prüft der Server, ob es sich um einen zulässigen Referrer handelt. Wenn der Referrer nicht zulässig ist, prüft der Server, ob es sich um eine Referrer-Ausnahme handelt:
Wenn es sich um eine Ausnahme handelt, wird die Anforderung blockiert.
Wenn es sich nicht um eine Ausnahme handelt, wird die Anforderung übergeben.
Wenn in der Anforderung kein Referrer angegeben ist, prüft der Server, ob ein Null-Referrer zulässig ist:
Wenn ein Null-Referrer zulässig ist, wird die Anforderung übergeben.
Wenn ein Null-Referrer nicht zulässig ist, prüft der Server, ob die angeforderte URI eine Ausnahme für den Null-Referrer ist, und behandelt die Anforderung entsprechend.
Im Folgenden wird die CSRF-Prüfung beschrieben, die LiveCycle durchführt, wenn eine Anforderung an den Server gesendet wird.
|
|
|