问如何生成和验证csrf令牌
EN

Stack Overflow用户

提问于 2011-05-12 19:58:43

回答 1查看 18.4K关注 0票数 11

生成和验证csrf令牌的最佳方式是什么？据我所知，即使你在"post“表单中有一个隐藏的表单字段，黑客也可以简单地使用ajax获取该表单，获取csrf令牌并向站点发送另一个提交表单的请求。

如果我们要检查发送给我们的报头...则黑客可以简单地将csrf令牌发送到服务器侧脚本，该服务器侧脚本随后将仿真http报头。

那么如何实际生成和验证csrf令牌呢？

回答已采纳

发布于 2011-05-12 20:03:16

所有基于令牌的CSRF保护都可以用XSS破解，这似乎是您“已经能够收集到的”。这将是一本很好的读物：OWASP on CSRF

票数 8

页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://stackoverflow.com/questions/5977608

复制

相似问题

问如何生成和验证csrf令牌EN