标签: csrf
我正在为我的网站编写一个基本的留言板插件。版主将在每个帖子上都有href链接来删除,取消批准,编辑等。阻止CSRF攻击这些链接的最佳方法是什么?我唯一能想到的是使用隐藏令牌为每个链接创建一个表单并让href使用javascript提交表单,但这似乎是一个非常难以处理的解决方案。有没有更好的方法?
答案 0 :(得分:2)
您是否阅读过OWASP CSRF Prevention cheatsheet?
答案 1 :(得分:0)
简单地将CSRF令牌连接到href链接。
并在主持人会话中检查该令牌,
XSRF的重点是发出请求,响应依赖。因此,只需将令牌连接到响应即可。