POST响应或HTTP标头中的CSRF服务器令牌(而不是cookie)

时间:2017-08-23 10:34:39

标签: ajax cookies csrf

我有两个网站:首先是网站http://SITE上的登录页面,第二个是网站http://SITE/WEB上的主应用程序模块。 登录过程如下:

  1. 在网站上,用户输入他的登录信息。
  2. SITE发送登录到SITE / WEB(通过POST AJAX)。
  3. 使用一些密码字符的站点/ WEB响应。
  4. 仍然在SITE用户上键入密码字符。
  5. SITE将密码发送到SITE / WEB(通过POST AJAX)。
  6. 当密码正确时,SITE / WEB响应“OK”。
  7. 如果“OK”SITE将(在JS中)重定向到SITE / WEB。

    8. 现在,我想在登录页面上添加CSRF攻击保护 - 。 在cookie中发送CSRF令牌的保护SITE / WEB根本不是问题,而是登录页面我不能使用在SITE / WEB上创建的cookie,因为cookie将具有“Path = / WEB”所以在SITE上我看不懂。

    在这种情况下我应该这样做吗? 我正在考虑在标题中发送令牌,或者只是在步骤3中的POST响应中 - 与密码字符一起发送。 它会安全吗?

0 个答案:

没有答案
相关问题
最新问题