2. 질의 응답
  3. GWT SSL + 부두 + 동일 원산지 정책 = 혼동

GWT SSL + 부두 + 동일 원산지 정책 = 혼동

2012-02-22 2 views
1

GWT를 사용 중이고 하나의 html 페이지 (모듈)에서 SSL을 사용하고 싶습니다. 여러 개의 모듈을 가지고 하나 개의 모듈 내 web.xml 파일에 다음과 같은 구성으로 고정GWT SSL + 부두 + 동일 원산지 정책 = 혼동

<security-constraint> 
    <web-resource-collection> 
    <web-resource-name></web-resource-name> 
    <url-pattern>/Secure.html</url-pattern> 
    <http-method>GET</http-method> 
    </web-resource-collection> 
    <user-data-constraint> 
     <transport-guarantee>CONFIDENTIAL</transport-guarantee> 
    </user-data-constraint> 
</security-constraint>

나는 SSL을 통해 사용자의 로그인 정보를 전달하는 내가 Secure.html를 호출있는 다른 모듈 (로그인 페이지),이 . 다음 질문이 있습니다.

  1. http (보안되지 않은 로그인 페이지)에서 Secure.html 모듈을 호출하여 동일한 출처 정책을 위반합니까?
  2. 임베디드 부두에 SSL 용 커넥터를 어떻게 추가합니까? 나는 GWT 이클립스 플러그인을 사용하고있다. 나는 그것을 싫어. 보안 된 Secure.html 페이지에 액세스하려고하면 403 - dev 모드에서 금지되어 있습니다. 모든 모듈에 SSL을 사용하고 싶지 않습니다 (-server :ssl). 하지만 외부 서버 tomcat에 앱을 배포하면 정상적으로 작동합니다.
  3. 내가 제대로하고 있습니까? 이보다 더 좋은 접근법이 틀림 없어?

출처

2012-02-22 user1226395

답변

1

1) 프로토콜을 변경하여 확실히 same-origin policy을 위반했습니다.

2) 내장 된 부두에 커넥터가있을 필요가 없습니다. HTTPS를 통해 볼 수있는 것과 동일합니다 (그리고 있어야합니다). SSL은 보안 서버 뒤에 컨텐츠를 배치하는 문제입니다. IMO 이것은 개발 우려가 아니라 생산 우려입니다.

출처

2012-02-22 17:22:52

+0

하지만 다른 HTML 페이지입니다. 아직도? – user1226395

+0

임베디드 부두에서 SSL 포트를 어떻게 활성화합니까? GWT 부두 발사대 파일을 변경하고 싶지 않습니다. 그렇다면 질문은 임베디드 부두에서 SSL 포트를 열지 않고 GWT 개발 모드에서 SSL을 사용하여 하나의 리소스 (HTML 파일)를 보호하는 방법입니다. – user1226395

+0

'http : // mysite.com'은'https : // mysite.com'과 다른 호스트입니다. –

 관련 문제

  • 관련 문제 없음^_^