关于csrf的几点困惑
在做网站时针对csrf的问题,有几点困惑
1.以一个简单的文章管理为例
删除或编辑时,通常采用的是如下的get传值的方式.
<a href='/delete?id=3'>刪除</a>这种方式都存在csrf的漏洞.该怎么防范了,不是要每个get网址后加token参数吧.或者类似操作全部改成post方式?
2.token 如何实现并行会话兼容,我在网上找不到相应的案例和代码,一点思路也没有.
3.大家通常在项目怎么处理csrf的安全问题了
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
一个页面给一个token差不多了,POST并不能防止CSRF,因为可以用js生成表单post提交。
session(对同一个session生成同样的token)
提交数据的时候带上页面里面注入的token,服务端验证。