我想知道是否可以将 crsf 令牌<head>放在元标记或其他东西上,然后在我的服务器上访问它。这将真正简化流程并使其更加透明。我只是不知道怎么做。我真的希望在不涉及 javascript 的情况下做到这一点。
我认为rails实现了类似的东西......也许用etags?
问问题
1776 次
2 回答
3
CSRF 预防备忘单上列出了许多方法。不需要在每个表单上都有隐藏字段的方法是检查 referer。请记住,缺少引用者应被视为 CSRF 攻击,并且可能会导致某些隐私浏览器插件出现问题(这非常罕见)。
于 2012-07-23T00:26:51.223 回答
3
CSRF 令牌的基本目的是在每次提交表单时将其传递回服务器。您将唯一令牌传递到页面,当提交该页面上的表单时,令牌会随之返回。
如果您未在表单中包含令牌(或使用 JavaScript 以编程方式将令牌添加到当前位于页面其他位置的表单),则不会将其发送回服务器。
也许更好的问题是:你真正想要完成的是什么?换句话说,你为什么不想在表单中包含一个 CSRF 令牌?你想在你的场景中克服什么缺点?
于 2012-07-22T21:28:05.727 回答