每个请求使用唯一的一次性csrf令牌有什么好处吗?
就可以想象的唯一一次性每个请求令牌的有用性而言,它是对重定向或使用csrf令牌跟随url的保护。当用户使用csrf令牌跟随url时,它很有用。服务器在此请求期间将令牌标记为过期。用户发布带有过时和一次性令牌的URL并不危险。
但是,当发生服务器繁忙或网络传输错误时,csrf令牌未标记为过时。这个带有效csrf令牌的url正在向用户提供,并且可能被公开。这个有效的csrf令牌可以被用户公开使用。
因此,使用重定向或使用带有csrf令牌的url后,一次性唯一csrf令牌不能保证。所以我们不能使用重定向或跟随url与csrf令牌,但可能只使用这样的url作为XMLHttpRequest(或ajax等..)。
问题是当我们不使用重定向或跟随url和csrf令牌时,使用每个请求令牌的唯一一次性的原因是什么?每个请求令牌是否具有独特的一次性使用的任何其他优点?
您如何看待与脚本注入漏洞相关的差异化。这种攻击似乎不能用单个静态csrf令牌和一次性唯一的csrf令牌来反映。
答案 0 :(得分:0)
每个请求使用唯一的CSRF令牌可为应用程序添加次要安全性。例如,如果发生cookie劫持,则唯一令牌会阻止应用程序完全被劫持。正如@Neil在评论中提到的那样,使用唯一令牌会产生许多功能问题,例如多重标签,后退按钮和缓存。