我在登录页面上有一个CSRF令牌,它按预期工作。因此,当用户长时间打开登录页面时(令牌已在后台过期)。当他们正确输入登录凭据时,它会告诉他们该操作无效,因为令牌已过期并再次将其重定向到登录页面,现在他们可以成功进入。
我认为行为符合预期,因为CSRF令牌已经过时并且显式操作已获取正确的令牌。用户讨厌它,因为他们需要输入两次登录信息。
任何建议?这似乎是一个非常常见的问题,CSRF在登录页面上存在了很长时间..
感谢并感谢任何帮助。
答案 0 :(得分:2)
根据您在评论中指定的内容,我建议您实施自动刷新设置,使其与CSRF令牌到期的时间间隔大致相同。
将其放入<head>标记:
<meta http-equiv="refresh" content="300">
在此示例中,它将每5分钟刷新一次。