1

这个想法会奏效吗?这似乎很愚蠢,因为我的应用程序只是检查浏览器是否发送了相同信息的两个副本(即会话密钥)。

另外,记住做这个检查听起来很乏味。诸如 Rails 和 CakePHP 之类的 Web 框架是否具有使编写 XSRF 验证 Web 应用程序更容易的功能?

4

1 回答 1

2

假设会话密钥没有泄漏(如果您的 PHP 配置不当并使用 session.use_trans_sid 可能会发生这种情况)并且您不容易受到会话固定攻击,是的,这是安全的。这是因为请求伪造者无法读取您的 cookie,因此不知道正确的值是什么。

您可能对CSRF Magic感兴趣,它声称允许您通过包含单个文件来保护您的应用程序。

于 2009-08-07T04:52:23.507 回答