这个想法会起作用吗?这看起来很愚蠢,因为我的应用程序只是检查浏览器是否发送了相同信息的两个副本(即会话密钥)。
另外,记住进行此检查听起来非常繁琐。 Rails和CakePHP等Web框架是否有更容易编写XSRF证明的Web应用程序的东西?
答案 0 :(得分:2)
假设会话密钥没有泄露(如果您的PHP配置不当并使用session.use_trans_sid可能会发生这种情况)并且您不容易受到会话固定攻击,是的,这是安全的。这是因为请求伪造者无法读取您的cookie,因此不知道正确的值是什么。
您可能对CSRF Magic感兴趣,{{3}}声称允许您通过包含单个文件来保护您的申请。