11

生成 csrf 令牌和验证的最佳方法是什么。据我所知,即使您在“帖子”表单中有隐藏的表单字段,黑客也可以简单地使用 ajax 获取该表单,获取 csrf 令牌并向站点发送另一个请求以提交表单。

如果我们要检查发送给我们的标头……那么黑客可以简单地将 csrf 令牌发送到服务器端脚本,然后该脚本将模拟 http 标头。

那么如何实际生成和验证 csrf 令牌呢?

4

1 回答 1

8

所有基于令牌的 CSRF 保护都可以用 XSS 来击败,这就是你似乎“已经能够收集到的”。这对你来说是一本好书:CSRF 上的 OWASP

于 2011-05-12T12:03:16.040 回答