在owasp.org讲座中,他们推荐使用同步器令牌模式,不要鼓励使用双提交Cookie。
同步器令牌模式涉及使用会话。我有理由不想使用会话(在高流量环境中性能不佳,而且很难在多台机器上共享)。因此,当我留下双提交cookie时,我需要理解为什么它们可能不像会话方法那样安全。
owasp.org文章提到XSS是一个潜在的问题(因为HTML格式中的会话ID的包含可以通过JS读取),但同步器令牌也会出现这个问题(因为它们也包含在内)表格作为隐藏字段)。简而言之,XSS使得任何CRSF保护都无用(如果你允许XSS,那么CSRF可能不是你最大的问题)。
那么我有什么理由可以远离双提交饼干吗?