当前位置: 文江博客话题详情

通过生成随机数令牌来防止 CSRF?

发布于 2024-11-04 05:29:46 字数 243 浏览 0 评论 0原文

我正在阅读这篇文章 通过创建一个随机数令牌来防止 CSRF,该令牌将作为 ajax 函数中的变量发送,并且会话中的值与令牌中的值相同。这是一个好主意吗,因为我真的不喜欢特别在大型网站上使用会话,因为大型网站一直有很多活跃用户,这会影响总体性能?

原文

I was reading This article about preventing CSRF by creating a nonce token which going to be sent as variable in ajax function along with a session hold the same value as in the token. Is this a good idea because I realy don't like the useing of sessions specially with big website which has many active users all the time , which going to affect the general performance ?

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(1

我不咬妳我踢妳 2024-11-11 05:29:46

不,只要您为每个用户提供独特的、不可猜测的价值,就不需要随机数。例如,它可以是SHA1(user_id +“无人知道的秘密字符串”)

我在另一个问题中回答了随机数和CSRF之间的区别:

https://stackoverflow.com/a/9803497/27009

No, nonce is not necessary as long as you'll have unique, unguessable value for each user. It could be for example SHA1( user_id + "secret string nobody knows").

I've replied about difference between nonces and CSRF in another question:

https://stackoverflow.com/a/9803497/27009

回复 原文
~没有更多了~

关于作者

毁我热情

暂无简介

0 文章
0 评论
22 人气
发私信

相关话题

更多

热门标签

操作系统 程序设计 IT运维 Linux系统管理 JavaScript 服务器应用 solaris C/C++ PHP Shell BSD Vue.js aix Oracle Python HTML 系统管理 HTML5 CSS 前端
更多

推荐作者

lorenzathorton8

文章 0 评论 0

Zero

文章 0 评论 0

萧瑟寒风

文章 0 评论 0

mylayout

文章 0 评论 0

tkewei

文章 0 评论 0

17818769742

文章 0 评论 0

更多

友情链接

文江博客
    我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
    原文