我的初始代码为可能改变我的数据库状态的请求生成了令牌,例如CRUD操作。为每个请求生成令牌。以JSON格式发送到客户端以及其他数据,我希望此请求随请求一起返回,并在请求完成后更改它。但是,当我将其实现为仅部分代码(CRUD操作)时,我被告知重做它并使其成为Web应用程序范围。我认为最好的方法是使用过滤器。
我的问题是,如何让客户端为每个请求发送“令牌”?我是用饼干设置的吗?我有什么选择?请指教。
答案 0 :(得分:0)
最好的方法是,所有链接都应该是GET请求,并且在get请求中不应该对应用程序状态进行修改。因此,对于GET请求,不需要CSRF令牌。
对于在应用程序状态下进行修改的POST请求,您必须在表单中生成csrf隐藏字段,并在表单提交期间验证服务器中的令牌。