Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
我正在阅读这篇关于通过创建一个 nonce 令牌来防止 CSRF 的文章,该令牌将在 ajax 函数中作为变量发送,并且会话与令牌中的值相同。这是一个好主意吗,因为我真的不喜欢在大型网站上使用会话特别是一直有很多活跃用户的大型网站,这会影响总体性能?
不,只要您对每个用户都有独特的、不可猜测的价值,nonce 就不是必需的。例如,它可能是SHA1( user_id + "secret string nobody knows")。
SHA1( user_id + "secret string nobody knows")
我在另一个问题中回答了 nonces 和 CSRF 之间的区别:
https://stackoverflow.com/a/9803497/27009