0

很抱歉再次问这个问题,但 ppl 似乎只将 csrf 与表单提交或表单复制连接起来(idk 为什么)。

我的想法是保护数据免受外部请求。为每个请求设置一个令牌,并在用户登录后开始令牌化,因此任何攻击者都不能只加载前一个页面,获取令牌并将其发送给下一个请求。从一开始就标记每个请求是否是一个好主意,这样私人用户的内容就不会被盗?我认为这是对不受保护的社交网站的强大攻击。任何攻击者从另一个流行网站窃取用户数据。

4

1 回答 1

0

如果我理解正确,那么(服务器端)添加 cache-control: private 标头不是适当的事情吗?这应该导致任何缓存和/或代理不为其他方缓存内容。将它与 https 结合使用,您应该没问题。

http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html

于 2012-04-04T06:55:57.710 回答