Apache Jackrabbit бросает 403 в анонимный доступ WebDAV

Я настроил Apache Jackrabbit 2.6.3 для использования WebDAV в анонимном режиме (пустые учетные данные отображаются в anonymous:anonymous).

Если я нажимаю прямую ссылку на какой-либо файл (например, JPG или DOC), сервер GlassFish выдает ошибку HTTP 403. Если я нажму F5, 403 все еще будет там.

Ошибка 403

НО, если я просто нажму Enter в адресной строке своего браузера по тому же URL-адресу, все будет в порядке, и ресурс будет доступен.

Я думаю, что единственное отличие - это реферер в HTTP-заголовке.
Я искал информацию о подобной проблеме, но ничего не нашел.

Кто-нибудь знает, как заставить WebDAV (или Jackrabbit) обслуживать файлы в анонимном режиме, несмотря на реферер или по любой другой причине?


apache http-status-code-403 jackrabbit webdav jcr
person mieszk3    schedule 20.08.2013    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Я нашел решение.
В web.xml файле в разделе WebDAV необходимо раскомментировать следующую часть:

<init-param>
        <param-name>csrf-protection</param-name>
        <param-value>disabled</param-value>
</init-param>

С disabled как param-value.

Как говорится в описании:

Определяет поведение защиты CSRF на основе реферера
1) Если опущено или оставлено пустым, поведение (по умолчанию) - разрешать только запросы с
пустым заголовком реферера или хостом реферера, равным хосту сервера
2) Может также содержать список дополнительных разрешенных рефереров, разделенных запятыми.
3) Если установлено значение «отключено», никакая проверка реферера выполняться не будет.

person mieszk3    schedule 22.08.2013