我的许多表单都以multipart/form-data的形式提交,我的服务器上的表单在流中解析,而且都是异步的。等待csrf令牌,接收它然后拒绝它会很痛苦,同时一些表单已被处理。因此,我发现在提交时将其设置为表单上的查询变量要容易得多。当用户请求页面时,我仍会将其作为隐藏的表单值传递。这样做有风险吗?
答案 0 :(得分:0)
传递CSRF令牌可以使用任何方式完成,只要它不仅仅是cookie。
只要您在处理表单后重定向,就可以防止您的CSRF令牌泄露到referer标题中。
请注意,您的令牌可能仍会在浏览器历史记录,代理和服务器日志中作为默认值泄露,而POST数据则不然。但是,如果您每个会话重新生成CSRF令牌,那么这应该会限制曝光。