在同步器令牌模式中,服务器生成随机令牌,并且此令牌必须由客户端提交的每个表单提交。客户端如何知道在服务器中创建的CSRF令牌?
答案 0 :(得分:2)
根据GET请求,您可以将令牌放入生成的页面中。它既可以作为隐藏字段以表格形式写入,也可以在发送表单时自动发送,或者以元标题(<meta name="csrftoken" content="...">)或其他任何方式发送。
如果它只是简单的旧表格帖子,隐藏字段可能是最简单的。如果涉及到javascript(ajax请求),你可能会更好地使用页面中的一个中心位置(如元标题),任何javascript都可以从中获取它。
对于表单,您可以为每个新页面下载生成不同的令牌,但对于ajax繁重的应用程序,更改令牌会导致问题 - 对于大多数应用程序,每个登录会话可以接受一个令牌。