您可以通过在所有 POST 请求的参数中包含会话密钥来防止 XSRF 吗？

Question

这个想法可行吗？ 这看起来很愚蠢，因为我的应用程序只是检查浏览器是否发送了相同信息的两个副本（即会话密钥）。

另外，记住进行这项检查听起来很乏味。 Rails 和 CakePHP 等 Web 框架是否具有可以更轻松地编写 XSRF 防护 Web 应用程序的功能？

Answer 1

假设会话密钥没有泄露（如果您的 PHP 配置不当并使用 session.use_trans_sid，则可能会发生这种情况）并且您不容易受到会话固定攻击，是的，这是安全的。 这是因为请求伪造者无法读取您的 cookie，因此不知道正确的值是什么。

您可能对 CSRF Magic 感兴趣，它声称允许您通过包含单个文件来保护您的应用程序。