如何生成和验证CSRF令牌是最佳的方法?从我的了解来看,即使您在“post”表单中有一个隐藏字段,黑客也可以使用ajax获取该表单,获取csrf令牌并发送另一个请求到站点以提交该表单。
如果我们要检查发送给我们的标头...那么黑客可以简单地将csrf令牌发送到服务器端脚本,然后模拟HTTP标头。
那么,如何实际生成和验证CSRF令牌呢?
1个回答
8
所有基于令牌的CSRF保护措施都可被XSS攻击所破解,这似乎是您“已经收集到的”。以下链接是一个很好的阅读材料:OWASP关于CSRF的介绍
- e.dan
2
如果我解决了我的网站上的XSS问题,那么我就能使用基于令牌的CSRF预防措施吗? - Amit
基本上是的,但要做到正确绝非易事。如果你遵循该链接中的指南,你会做得相当不错。 - e.dan
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接