使用AJAX创建Web应用程序时的CSRF保护,没有内联php

时间:2014-06-05 05:44:48

标签: javascript ajax

刚开始重新开始重建应用程序所以所有的PHP都是 通过AJAX访问,即没有内联php,准备制作它 使用Phonegap的原生应用程序。

我想知道的一件事 - 目前(因为该网站现在使用内联php) 我使用随机字符串生成来确定呼叫是否来自 我的网站(这是为了帮助避免CSRF,对吧?)

...即

  • 创建rand str
  • 把它放进会话
  • 使用任何AJAX调用发送它,并检查它是否与会话
  • 匹配

当您不使用内联php时,这怎么可能?我必须......

  • 从第一次AJAX调用,在调用期间在php中创建一个rand str, 并将其归还
  • 将str存储在js var
  • 将其发送回下一个AJAX
  • 检查它是否与会话中的匹配,如果是,则一切都很好
  • 创建一个新鲜的rand str,并将其发送回AJAX,为下一个做好准备 AJAX致电

如果以上是正确的,你怎么知道第一个AJAX电话没有被黑了?

感谢您的帮助。

0 个答案:

没有答案