ajax 请求的安全令牌问题

Question

在构建应用程序时，我使用令牌来防止

每次呈现表单时对表单的攻击，它都会获得一个新的一次性安全令牌，我将其作为隐藏字段包含在表单中。该令牌也存储在会话中。

发送表单时，将根据会话中的令牌验证令牌，以确保表单合法。这对于标准页面非常有用。

问题 当使用Ajax发送表单时，一个页面上可能有多个表单，一旦您发送其中一个表单，该令牌对于其他表单来说就无效了，因为它是一次性令牌。

有人对此有建议吗？或者是否足够安全，可以为每个会话生成一个令牌并仅使用它，而不是在每次发送表单时使令牌失效？

Answer 1

如果您想遵循当前的方法，您可以在每次执行 AJAX 请求时生成一个安全令牌，在 AJAX 响应中返回它，并在获取它时将其注入到隐藏中。
但是，我会重新考虑您当前的安全令牌方法。 此处在 OSWAP wiki 中提供了一些相关提示。