我知道这是一个非常广泛的问题,但我不打算问你一个完整的实现(我知道有些库会为我做这些)我只是有一些小问题。
- 应该在http标头中使用nonce值吗?
- 如何从客户端的http标头中读取nonce?
- 如何将nonce发送回服务器?也许在隐藏的领域?或者浏览器是否会为我的每个后续请求执行此操作?
- 关于客户端nonce(cnonce)我应该以与其他字段或隐藏字段相同的方式发送它吗?
- 如何从服务器恢复cnon?和nonce一样吗?
在我的项目中,我使用servlet生成html页面,我有一个servlet来处理http登录表单。