2

这是一个好的 csrf 令牌吗?它是否有足够的熵,或者是否有一些容易猜到并且可以减少熵的部分,比如请求的时间?

一个示例 python 实现将 b

token = hashlib.sha256(str(uuid.uuid4())).hexdigest()
4

1 回答 1

2

uuid v4 有 122 个随机位(可能有 128 个),所以,是的,它作为 CSRF 令牌应该没问题。

(顺便说一句,散列这个有什么作用吗?除了随机排列随机位之外,它并没有做太多事情。)

于 2013-01-21T03:06:33.467 回答