什么是生成csrf令牌并验证的最佳方法 . 从我能够收集到的内容来看,即使你在“帖子”形式中有一个隐藏的表单字段,黑客也可以使用ajax简单地获取该表单,获取csrf令牌并向站点发送另一个请求以提交表单 .
如果我们要检查发送给我们的标头...那么黑客可以简单地将csrf标记发送到服务器端脚本,然后模拟http标头 .
那么如何实际生成和验证csrf令牌呢?
所有基于令牌的CSRF保护都可以通过XSS来解决,这就是你所看到的"have been able to gather" . 这将是一个很好的阅读:OWASP on CSRF
1 回答
所有基于令牌的CSRF保护都可以通过XSS来解决,这就是你所看到的"have been able to gather" . 这将是一个很好的阅读:OWASP on CSRF