我在质疑csrf保护。在我看到的示例中,csrf令牌始终在 html表单内部中使用。然后,接收发布请求的控制器必须验证csrf令牌的有效性。
如何将csrf令牌放入Web应用程序的每个URL中? 有效吗?就我而言,所有GET / POST请求都通过一个前端控制器,该控制器可以在URL中找到crsf令牌并检查其有效性。
我的所有URL都像这样:
http://example.com/action/IjdkMDQyM2VhZGZmYzc5ODhmNmYxZmZhODE1ZTgzN2MyOWRhZjFmYWUi.XrwUOw.A2SxStGRt8SMsHqQ22KM_6ctNx8
和我没有将crsf令牌放在html表单中。
我做错了与否吗?