那些遇到过的问题

如何生成和验证csrf令牌

Ami*_*mit 10 csrf token csrf-protection

什么是生成csrf令牌并验证的最佳方法.从我能够收集到的内容来看,即使你在"帖子"形式中有一个隐藏的表单字段,黑客也可以使用ajax简单地获取该表单,获取csrf令牌并向站点发送另一个请求以提交表单.

如果我们要检查发送给我们的标头...那么黑客可以简单地将csrf标记发送到服务器端脚本,然后模拟http标头.

那么如何实际生成和验证csrf令牌呢?

e.d*_*dan 7

所有基于令牌的CSRF保护都可以通过XSS来解决,这就是您似乎"已经能够收集"的内容.这对您来说是一个很好的读物:CSRF上的OWASP

归档时间:

查看次数:

15463 次

最近记录:

15 年 前
相关归档
将设备令牌发送到服务器 10
ajax的CSRF令牌 8
RESTful API:如何安全地存储承载API令牌? 5
让用户将视频从我的站点服务器上传到他们的YouTube频道 5
我应该使用/写一个模板词法分析器吗? 3
Grails 3 CSRF保护 3
Rails 5.2的某些控制器操作提供了InvalidAuthenticityToken 3
究竟是什么触发了PFG表单上的"表单身份验证器无效"异常? 2
Spring Security CSRF:如何在 Java 中检索令牌 2
对象数组问题 0
难疑归档
为什么减去这两次(在1927年)给出一个奇怪的结果? 6628
如何在Java中读取/转换InputStream为String? 3864
什么是依赖注入? 2984
为什么"使用命名空间std"被认为是不好的做法? 2486
如何分析在Linux上运行的C++代码? 1732
抽象函数和虚函数有什么区别? 1526
在Visual Studio中使用Git 1452
你如何重命名Git标签? 1162
在Notepad ++中将制表符转换为空格 1042
有哪些常用的命名git分支实例的例子? 1034