为什么在 Web 应用程序中禁用 REFRESH 是个好主意（出于安全目的）

Question

我们正在对我们的代码进行 XSRF 修复。我们使用会话令牌来请求令牌比较方法来实现这一点。如果会话令牌不等于请求令牌，我们将重定向到错误页面。

问题：进入主菜单页面后，如果用户“刷新”页面，则会引发 XSRF 问题。 原因：因为不会有任何请求令牌（当我们刷新页面时）。由于请求令牌为 NULL 并且不等于会话令牌，因此会引发 XSRF 错误。

该应用程序的用户对这种方法不太满意。那么有什么办法可以实现页面刷新呢？或者禁用页面刷新是绝对必要/重要的（为了安全）？

提前致谢。

Answer 1

我们在页面中使用刷新，我没有看到任何安全问题。请求令牌是 URL 的一部分。当页面刷新时，请求令牌仍然在 URL 中。

您如何发送请求令牌？