我之前的CSRF令牌算法正在使用password_hash(),这是多标签和交叉标签友好的。我唯一的问题是,当我开始使用kCacheGrind分析我的代码时,此函数大多数时间都在吃Incl. = 87.1& Self = 87.11,我不是剖析专家,但KCacheGrind说我应该专注于Self时间。所以我在这里搜索,我看到ThiefMaster's回答并说出来了;
您可以简单地使用对当前持久的令牌 会话或甚至用户(例如用户散列的散列) 密码)并且不能由第三方确定(使用哈希值) 例如用户的IP不好。
然后你不必存储大量生成的令牌和 除非会话到期(这可能需要用户 无论如何都要再次登录)用户可以根据需要使用任意数量的标签。
使用持久的CSRF令牌安全/可靠吗?
我需要做些什么才能使持久的CSRF令牌安全/可靠?