标签: javascript security csrf crud
所以我在后端发现了一个错误,我可以捕获访问令牌,这样我就可以执行GET POST DELETE和PUT。我今天会告诉我们他们失败的地方。我知道流量应该用在SSL中。
无论如何,当使用Javascript盗取令牌时,最安全的CRUD方式是什么?添加csrf会增加难度吗?再说一次,我不是说防黑客。我只是想让攻击者在攻击中获得成功真的很难。
或者你如何使令牌无法使用?