标签: token csrf csrf-protection
生成csrf令牌并验证的最佳方法是什么。从我能够收集到的内容来看,即使你在“帖子”形式中有一个隐藏的表单字段,黑客也可以使用ajax简单地获取该表单,获取csrf令牌并向站点发送另一个请求以提交表单。 / p>
如果我们要检查发送给我们的标头...那么黑客可以简单地将csrf令牌发送到服务器端脚本,然后模拟http标头。
那么如何实际生成并验证csrf令牌?
答案 0 :(得分:7)
所有基于令牌的CSRF保护都可以通过XSS来解决,这就是您“似乎能够收集”的内容。这将是一个很好的阅读:OWASP on CSRF