我的网页源代码是否可以查看我的跨站点请求伪造TOKEN 我正在生产一个rails应用程序,可以看到跨站点请求伪造令牌,我猜它应该是不可见的
答案 0 :(得分:3)
如果没有可见的内容,就无法将其放在网页上。如果您无法将其放在网页上,则无法使用它。没有"秘密"网页的一部分,不在源或标题中,两者都可以轻松查看。所以,从逻辑上讲,如果它具有任何功能,它必须是可见的。
因此,为了使其作为安全系统的一部分运行,系统的安全性不能依赖于没有人能够看到令牌是什么,事实确实如此。系统的安全性取决于与存储值服务器端匹配的令牌:换句话说,它意味着随表单提供的令牌,即从服务器发送到客户端,需要匹配提交的一个回到服务器通过表格。
阅读本文:https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet