問題
- p_authトークンがresourceURLに含まれていない。
環境
- Liferay DXP
- Liferay 6.2 EE
解像度
- ResourceURLs(リソース提供フェーズ)は、ページ全体を再読み込みすることなく、 (画像など)リソースを提供できるようにするために、ポートレット2.0から導入されました。 したがって、resourceURLに対して呼び出されるserveResourceメソッドは、リソースを提供すること以外に焦点を当てるべきではありません。 サーバーサイドで変更を引き起こす可能性のあるアクションは、actionURLの場合に呼び出されるprocessActionで実装する必要があります。 このことから、serveResourceメソッドが仕様で定義されたタスクに集中するように設計されていれば、resourceURLでCSRF攻撃を引き起こすことはできず、p_authトークンの実装は不要であることがわかります。