那些遇到过的问题

CSRF令牌的生命周期应该是多长时间?

Sco*_*rth 8 security session csrf

我的CSRF令牌的生命周期应该短吗?或者我可以在会话期间持续使用它吗?

Mvd*_*vdD 8

一个CSRF令牌不是一个访问令牌,没有一辈子像承载令牌做.它们是使用会话信息生成的.

csrf_token = HMAC(session_token, application_secret)

CSRF会在您的请求中添加其他信息,以便服务器验证请求来自授权位置.

它仅影响浏览器自动发送授权信息的请求(cookie auth或basic/digest scheme)

  • 它们不必与会话相关。也可以根据请求。 (2认同)

归档时间:

查看次数:

3545 次

最近记录:

10 年,5 月 前
CSRF保护:我们是否必须为每个表单生成令牌? 28
更多相关链接
相关归档
使codeigniter网站成为多语言的最佳方式.从lang数组调用取决于lang会话? 81
Scrapy - 如何管理cookie /会话 51
尝试通过安全透明方法X访问安全关键方法Y失败 21
SSL握手失败 - Java 1.8 9
NHibernate会话管理建议 6
Spring Security:使用@PreAuthorize注释不保护方法 5
我如何通过javascript访问sessionid cookie? 4
在SourceTree更新后,安全警告要求我续订Mercurial 3
用get方法发送密码字段和ajax仍然不安全? 2
安全string.Format对象C# 2
难疑归档
有一个CSS父选择器吗? 2986
检测未定义的对象属性 2742
JavaScript对象的长度 2224
Dockerfile中的`COPY`和`ADD`命令有什么区别? 1991
在JavaScript中定义枚举的首选语法是什么? 1982
<快于<=? 1508
静态只读与const 1349
检查是否使用jQuery选中了复选框 1122
在拉动期间解决Git合并冲突以支持其更改 1104
endsWith在JavaScript中 1085