通过生成随机数令牌来防止 CSRF?

发布于 2024-11-04 05:29:46 字数 243 浏览 5 评论 0原文

I was reading This article about preventing CSRF by creating a nonce token which going to be sent as variable in ajax function along with a session hold the same value as in the token. Is this a good idea because I realy don't like the useing of sessions specially with big website which has many active users all the time , which going to affect the general performance ?

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(1

我不咬妳我踢妳 2024-11-11 05:29:46

不,只要您为每个用户提供独特的、不可猜测的价值,就不需要随机数。例如,它可以是SHA1(user_id +“无人知道的秘密字符串”)

我在另一个问题中回答了随机数和CSRF之间的区别:

https://stackoverflow.com/a/9803497/27009

No, nonce is not necessary as long as you'll have unique, unguessable value for each user. It could be for example SHA1( user_id + "secret string nobody knows").

I've replied about difference between nonces and CSRF in another question:

https://stackoverflow.com/a/9803497/27009

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文