为了安全起见，将 GET 与 tokenID 结合使用是一个好主意吗？

Question

我正在考虑这个，看来只发布不太容易受到攻击，但有些困难（要求用户单击某些内容）。

我读到了有关令牌 id 和双重提交 cookie 的信息，但我不确定有什么区别

http://www.owasp.org/index.php/Cross-Site_Request_Forgery_%28CSRF%29_Prevention_Cheat_Sheet#Disclosure_of_Token_in_URL http://www.owasp.org/index.php/ Cross-Site_Request_Forgery_%28CSRF%29_Prevention_Cheat_Sheet#Double_Submit_Cookies

现在我有用户 ID（我表中的 PK）和会话 ID，因此您不能简单地更改您的 Cookie ID 并像其他人一样行事。现在看来我将会话 ID 作为令牌放入每个表单中并检查它们，因为攻击者无法猜测这些令牌。但是我不喜欢将会话 ID 放入页面中供人们查看的想法。但说实话，这有问题吗？如果用户没有复制/粘贴 html，是否会因为会话 id 在 html 中以普通视图的形式出现而发生任何攻击？

Answer 1

如果用户可以复制其中包含令牌的链接，这是非常不安全的。对于当前地址也是如此：如果您使用静态会话 ID，则引用外部站点或屏幕截图将使会话受到损害。即使您没有静态会话 ID，用户也可以将鼠标放在链接上，该链接将显示在浏览器底部，然后截取屏幕截图，再次导致其会话受到损害。

Answer 2

无论如何，会话 ID 在客户端是已知的。否则他们会如何将其与请求一起发送？