标签: security csrf owasp
OWASP CSRF Prevention cheatsheet讨论了CSRF的两种常见缓解措施-Origin / Referrer标头检查和基于令牌的方法。
是否存在基于令牌的缓解可能会发现的基于源/引荐检查的缓解问题,反之亦然?我只是想了解我们是否需要在应用程序中同时使用它们。如果它们每个都有任何可能被另一个捕获的缺点,我想将它们都实现(如果没有这样的缺点,我现在就选择它们之一,并考虑在其中添加其他防御措施)稍后的深度测量)