关于csrf的几点困惑

发布于 2022-09-06 04:11:45 字数 445 浏览 43 评论 0

在做网站时针对csrf的问题,有几点困惑

1.以一个简单的文章管理为例
clipboard.png
删除或编辑时,通常采用的是如下的get传值的方式.

<a href='/delete?id=3'>刪除</a>

这种方式都存在csrf的漏洞.该怎么防范了,不是要每个get网址后加token参数吧.或者类似操作全部改成post方式?

2.token 如何实现并行会话兼容,我在网上找不到相应的案例和代码,一点思路也没有.

3.大家通常在项目怎么处理csrf的安全问题了

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(1

等待圉鍢 2022-09-13 04:11:45
  1. 一个页面给一个token差不多了,POST并不能防止CSRF,因为可以用js生成表单post提交。

  2. session(对同一个session生成同样的token)

  3. 提交数据的时候带上页面里面注入的token,服务端验证。

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文