注销时是否应该刷新反CSRF令牌？

Question

当用户从基于会话的站点注销时，是否应该刷新其相应的反csrf令牌(存储在会话中)？

如果令牌应该刷新，那么为什么要特别刷新？哪些可能的漏洞会导致抗CSRF令牌不刷新？

Answer 1

官方OWASP advice是yes，相应的Anti-CSRF令牌应该刷新，尽管这样做实际上几乎没有安全益处：

请注意，该值对于每个单独的会话都应该是唯一的。这保证了每个表单/请求都绑定到经过身份验证的用户，因此不受CSRF的影响。..。令牌生成的标准频率是每个会话，因此请确保您的会话具有合理的/可配置的超时。可以在每个请求的基础上发布新令牌。但是，如果这种方法甚至适用于您的应用程序，则增加的保护可能微不足道。

然而，，如果在会话阶段(通常只在登录/注销屏幕上)主体更改的情况下应用于任何地方，linked StackExchange question的accepted确实具有安全优势。这可以防止session fixation attack，其中攻击者劫持受害者的活动会话：

​

​

这是通过cookie窃取、客户端脚本编写、滥用<meta>标签或通过HTTP头实现的。在登录流期间重置反CSRF令牌可防止这种情况。但是，请注意，辅助令牌应该仅在这样的点上应用，因为在使用后退按钮和在多个选项卡中浏览方面存在问题，因此存在可用性成本。