我理解CSRF是基于HTTP(S)的应用程序的主要安全问题。
从它的外观来看,大多数框架都会将CSRF令牌作为请求正文的一部分发送。然而,在我的情况下,由于几个原因,这有点不优雅;最重要的是,我不想弄乱可能以多种不同格式发送POST个请求的传输层,不一定都是JSON或x-www-form-urlencoded。
作为一种解决方案,我正在考虑一种不那么具有侵入性的替代方案;特别是,我正在生成一个随机标题:随机标题名称(公共前缀),包含一个随机CSRF标记。
是否存在任何安全(或其他类型)风险?
答案 0 :(得分:1)
是否存在任何安全(或其他类型)风险?
没有:只要您可以从客户端传递并检查服务器 - 您就可以了
此外,我应该多久刷新一次CSRF令牌?我是否需要为每个请求或每个请求提供一个新请求,或者每个站点访问和一天,或者......?
一般情况下,你根本不应该刷新它。如果使用加密强随机数生成器生成 - 您可以在每个会话中使用一个。重要的是它无法猜测它,因此它不应该来自任何已知数据。