验证防伪令牌的最佳方法?

时间:2019-09-11 14:45:24

标签: security standards owasp websecurity

我应在请求中的哪个地方放置防伪令牌? (根据最新标准)

  • 标题
  • 表单主体

1 个答案:

答案 0 :(得分:1)

实际上,它是特定模式的一部分,第一部分负责Cookie,第二部分位于Header或Form body中。

如果您查找“ 双重提交Cookie和加密令牌模式”,则会详细讨论。

总结

它提供了一种无状态防御机制,该机制由2个项目(或令牌集)组成,应在由Antiforgery软件包验证的任何请求中找到:

  • 作为cookie包含的防伪令牌,作为伪随机值生成并加密。
  • 作为表单字段,标题或cookie包含的附加令牌。其中包括相同的伪随机值,以及来自当前用户身份的其他数据。此数据也已加密。
相关问题
最新问题