如何生成和验证 csrf 令牌

发布于 2024-11-06 22:31:22 字数 207 浏览 5 评论 0原文

生成 csrf 令牌并验证的最佳方法是什么?据我所知,即使您在“发布”表单中有一个隐藏的表单字段,黑客也可以简单地使用 ajax 获取该表单,获取 csrf 令牌并向网站发送另一个请求以提交表单。

如果我们要检查发送给我们的标头...那么黑客可以简单地将 csrf 令牌发送到服务器端脚本,然后该脚本将模拟 http 标头。

那么如何实际生成和验证 csrf 令牌呢?

what is the best way to generate a csrf token and verify. From what i have been able to gather, even if you have a hidden form field in a "post" form a hacker can simply get that form using ajax, take the csrf token and send another request to the site to submit the form.

And if we are to check the headers sent to us... then the hacker could simply send the csrf token to a server side script that will then emulate the http headers.

So how does one actually generate and verify csrf tokens?

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(1

无言温柔 2024-11-13 22:31:22

所有基于令牌的 CSRF 保护都可以通过 XSS 来击败,这就是您似乎“已经能够收集到的”。这对您来说是一本很好的读物:OWASP on CSRF

All token-based CSRF protections can be defeated with XSS, which is what you seem to "have been able to gather". This will be a good read for you: OWASP on CSRF

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文