很抱歉再次询问此问题,但ppl似乎只将csrf连接到表单提交或表单重复(idk为什么)。
我的想法是保护来自外部请求的数据。为每个请求设置一个令牌,并在用户登录后开始令牌化,这样任何攻击者都无法加载上一页,获取令牌并将其发送给下一个请求。从一开始就标记每个请求是一个很好的想法,这样私人用户的内容就不会被窃取?我认为这是对受到保护的社交网站的强大攻击。任何攻击者都会窃取其他热门网站的用户数据。
答案 0 :(得分:0)
如果我理解你的话,那么(服务器端)是否需要添加缓存控制:私有标头?这应该导致任何缓存和/或代理不为其他方缓存内容。将它与https一起使用,你应该没问题。