处理失败的随机数验证的最佳方法是什么？

Question

我对随机数有一个模糊的理解，但有一点困惑。

当随机数验证失败时，正确的响应是什么？

什么情况下nonce验证会失败？真正的用户面临什么风险？

Answer 1

表单随机数的目标通常有两个：确保数据仅提交一次，并确保用户实际进行提交。第二点有助于防御跨站点请求伪造： http://en.wikipedia.org/wiki/ Cross-site_request_forgery

处理它们取决于上下文。如果用户正在填写表单并且随机数失败，请刷新页面（预填写数据），说一些良性的内容，例如“哎呀，出现问题，请检查您的输入并再次提交”。有效的用户可以点击提交，攻击将被挫败，或者至少让用户知道发生了什么。

验证可能会因多种原因而失败。如果您启用了某种形式的浏览器缓存，用户访问一个表单（具有给定的随机数），然后导航到另一个表单（具有自己的随机数）并通过后退按钮返回到第一个表单，随机数可能会失败。通过允许浏览器缓存发生，它们不会刷新页面，并且您的服务器可能只在会话中为它们存储一个有效的随机数，因此它们不会匹配。一个有效的用例和一个失败的随机数（不是一个我会失眠的，只需确保重新填充表单即可）。

总的来说，我的建议是：告诉用户再次提交，巧妙地暗示他们应该检查他们的输入，使再次提交变得容易。