使用支柱令牌防止跨站点请求伪造

Struts 1 Action令牌方法的工作方式与Struts 2令牌拦截器类似，因为它会将令牌添加到您的会话并在表单提交时检查它，但这是一个更加手动的过程。基本工作流程是：

1. 用户通过 Struts 操作（而不是直接到达 JSP）访问窗体。Struts 操作将在转发到包含该窗体的 JSP 之前调用。saveToken(request)
2. JSP 上的窗体必须使用标记。<html:form>
3. 表单提交到的操作将首先调用 ，如果返回 ，则应重定向回第一个操作，并显示错误消息。这还会重置下一个请求的令牌。isTokenValid(request, true)false

这样做不仅可以防止重复的表单提交，而且任何脚本都必须点击第一个Struts Action并获得会话，然后才能提交到第二个Struts Action以提交表单。由于一个站点无法为另一个站点设置会话，因此这应该会阻止 CSRF。

如果您通常将用户直接发送到 JSP，请不要这样做。相反，创建一个从中继承的新类，并将其设置为方法：ActionForwardexecute()

public ActionForward execute(ActionMapping mapping, ActionForm form, HttpServletRequest request, HttpServletResponse response)  throws Exception {
    saveToken(request);
    return super.execute(mapping, form, request, response);
}