现在我认为保护ajax调用,有时使用令牌的普通表单非常常见。它的工作原理如下。 1)用户请求页面2)将令牌放入html,并进入会话3)提交时检查这些值。
现在我面临的一个主要障碍是缓存。我没有很多变化的内容,所以我希望能够缓存至少24小时。另一方面,我在前端做了一些ajax调用,好的做法是让它们有点安全。
现在我在想这个,但我不知道它是否会奏效。也许你可以提供帮助。
开玩笑说最后一部分。但是这样做会有效,因为你没有发送一块真实的网站。
也许你可以通过存储用户请求的表单的标识符来使它更聪明一些。
实际上,我不知道这是否有效,我实在怀疑。也许有人可以向我解释为什么这不起作用。
答案 0 :(得分:0)
为了prevent csrf使用令牌,每个用户必须拥有攻击者无法猜测的唯一令牌。如果您向每个人提供相同的缓存页面,则令牌不是秘密,攻击者可以伪造请求。
话虽如此。您可以让一些JavaScript使用XHR从用户的会话数据存储中提取用户令牌,并填充表单或ajax调用。