0

我有一个网站可以在用户登录时检查 CSRF 令牌。表单看起来像

<cfoutput>
    <input type="hidden" name="token" value="#CSRFGenerateToken()#" />
</cfoutput>

后来它被检查

if (framework.getCGIRequestMethod() == "post" && !CSRFverifyToken(rc.token))    {
    rc.arMessage.append("<b>Debug:</b> Fail Token");

    return;
    }

我想验证这实际上是在检查。令牌是否过期或超时?换上好像没什么用this.name=application.cfc令牌是基于域名的吗?

我需要对此进行测试。我不需要自动化测试,而只是以某种方式测试它。

4

1 回答 1

1

要对此进行测试,请使用https://www.getpostman.com/ 之类的内容。

定位表单的操作页面:

  • 创建GET请求;验证它会引发错误。
  • 创建一个没有该字段的POST请求;token验证它会引发错误。
  • 使用与生成的值不匹配的字段和值创建POST请求;验证它会引发错误。tokenCSRFGenerateToken()
  • 使用正确的值创建POST请求token;验证它是否正确处理。
于 2019-10-21T16:16:27.007 回答