我最近阅读了有关 csrf 令牌的信息。我正在使用 YII 框架来开发我的项目。我在 config/main.php 中启用了 csrf 验证,yii 将令牌放入隐藏的表单字段中。并检查令牌是否有效。一切安好。但是我观察到,当我刷新并且页面中的所有表单都使用相同的令牌时,CSRF 令牌的值并没有改变。
这让我很困惑。如果 csrf 令牌没有改变,那么任何黑客都可以在他的请求中使用该令牌,并且能够产生一个有效的请求。那么 csrf 令牌如何提供安全性呢?YII框架有问题吗?还是我错过了什么?我希望我确实错过了一些东西。如果我们必须手动生成令牌,请告诉我如何生成和验证(最好在 YII 框架中)