生成 csrf 令牌和验证的最佳方法是什么。据我所知,即使您在“帖子”表单中有隐藏的表单字段,黑客也可以简单地使用 ajax 获取该表单,获取 csrf 令牌并向站点发送另一个请求以提交表单。
如果我们要检查发送给我们的标头……那么黑客可以简单地将 csrf 令牌发送到服务器端脚本,然后该脚本将模拟 http 标头。
那么如何实际生成和验证 csrf 令牌呢?
生成 csrf 令牌和验证的最佳方法是什么。据我所知,即使您在“帖子”表单中有隐藏的表单字段,黑客也可以简单地使用 ajax 获取该表单,获取 csrf 令牌并向站点发送另一个请求以提交表单。
如果我们要检查发送给我们的标头……那么黑客可以简单地将 csrf 令牌发送到服务器端脚本,然后该脚本将模拟 http 标头。
那么如何实际生成和验证 csrf 令牌呢?
所有基于令牌的 CSRF 保护都可以用 XSS 来击败,这就是你似乎“已经能够收集到的”。这对你来说是一本好书:CSRF 上的 OWASP