我正在考虑这一点,它似乎 POST 只是不那么容易受到攻击并且更难(要求用户单击某些东西)。
我阅读了有关令牌 ID 和双重提交的 cookie 的信息,但我不确定有什么区别
http://www.owasp.org/index.php/Cross-Site_Request_Forgery_%28CSRF%29_Prevention_Cheat_Sheet#Disclosure_of_Token_in_URL http://www.owasp.org/index.php/Cross-Site_Request_Forgery_%28CSRF%29_Prevention_Cheat_Sheet#Double_Submit_Cookies
现在我有用户 ID(我的表中的 PK)和会话 ID,因此您不能简单地更改您的 cookie ID 并像其他人一样行事。现在似乎我将会话 ID 作为令牌放入每个表单中并检查它们,因为攻击者无法猜测这些令牌。但是,我不喜欢将会话 ID 放入页面以供 ppl 看到的想法。但实际上,这样做有问题吗?如果没有让用户复制/粘贴 html,是否会由于会话 id 在 html 中的普通视图而发生任何攻击?