我最近读过有关csrf令牌的内容。我正在使用YII框架来开发我的项目。我在config / main.php中启用了csrf验证,yii将一个令牌放在隐藏的表单字段中。并检查令牌是否有效。一切都好。但我观察到,当我刷新并且页面中的所有表单都使用相同的令牌时,CSRF令牌的值不会改变。
这让我很困惑。如果csrf令牌没有改变,那么任何黑客也可以在他的请求中使用该令牌,并且能够产生有效的请求。那么csrf令牌如何提供安全性呢?这是YII框架的问题吗?还是我错过了一些东西?我希望我错过了什么。如果我们必须手动生成令牌,请告诉我如何生成和验证(最好在YII框架中)答案 0 :(得分:2)
每个会话实现Csrf令牌生成。 check
黑客如何将令牌生成到您的会话中?
每个请求令牌生成也有一个过程,但我认为这不是yii的好方法。 problem with per request token generation