我正在阅读This article关于通过创建一个nonce令牌来防止CSRF,该令牌将作为变量在ajax函数中发送,并且会话保持与令牌中相同的值。这是一个好主意,因为我真的不喜欢使用特别是大网站的会话,这些网站一直有许多活跃的用户,这会影响一般性能吗?
答案 0 :(得分:0)
不,只要您为每个用户提供唯一且不可取的值,就不需要nonce。它可以是例如SHA1( user_id + "secret string nobody knows")。
我在另一个问题上回答了nonce和CSRF之间的区别: