我对 CSRF 的预防有一个疑问。许多网站说可以通过使用每个会话随机生成的“令牌”来防止 CSRF。
现在我的疑问是,假设我有一个类似的功能:
$.post("abcd.php",{'fbuid':userid,'code':'<?php echo md5($_SESSION['randcode']); ?>'}
现在这个 md5 哈希显然对任何黑客都可以通过源代码看到。他可以简单地打开这个页面,生成一个令牌,并保持页面打开,这样会话就不会被破坏,并使用另一个选项卡或其他任何东西,开始黑客攻击,
不 ?
还是我对令牌的想法不正确?
感谢您的帮助:D