0

我的初始代码为可能改变数据库状态的请求生成了令牌,例如 CRUD 操作。为每个请求生成令牌。与其他数据一起以 JSON 格式发送到客户端,我希望这个令牌与请求一起返回,并在请求完成后更改它。但是,当我只将它实现到我的部分代码(CRUD 操作)时,我被告知要重做它并使其成为网络应用程序范围。我认为最好的方法是使用过滤器。

我的问题是,如何让客户端为每个请求发送“令牌”?我是否将其设置在 cookie 中?我有哪些选择?请指教。

4

1 回答 1

0

最好的方法是,所有链接都应该是 GET 请求,并且在 get 请求中不应该对应用程序状态进行任何修改。因此对于 GET 请求,将不需要 CSRF 令牌。

对于在应用程序状态中进行修改的 POST 请求,您必须生成,csrf 表单中的隐藏字段,并在表单提交期间验证服务器中的令牌。

于 2012-11-16T08:33:32.867 回答