有人可以帮助我理解为什么OWASP必须对其参考实现进行此更改
https://github.com/aramrami/OWASP-CSRFGuard/commit/a494d4d7d7e9814fa0feaabf81f8264d10165ffb
该提交中唯一的提示是“令牌现在被移除并使用另一个POST请求来解决,即令牌劫持问题。”
如果有人能解释这种变化如何阻止令牌劫持,我将非常感激。
答案 0 :(得分:0)
此提交中有几处更改,主要是如果您看起来尊重配置以保护或不保护使用method="get"的表单(如果指定为post,则默认设置。似乎是一些XHR(Ajax)相关的更改,以填充请求中的HTTP标头与配置值不同。