anti-CSRF Token布署时需要注意的一点问题

本文探讨了在部署anti-CSRF Token时可能遇到的问题,重点关注如何确保Token的安全性和正确使用,包括Token的生成、存储、验证以及在跨域、脚本和不同浏览器环境下的兼容性策略。
摘要由CSDN通过智能技术生成

from : http://hi.baidu.com/aullik5/blog/item/b2cdb4444d061c21cffca3a5.html

 

      防范CSRF攻击的方案有许多种,有用验证码来防的( tenfy:方案比较重,适合于敏感数据的变更类操作,对一般查询信息类不是很合适),更多的是生成一个 随机的token,当用户提交的时候,在服务器端比对一下token值是否正确,不正确就丢弃掉,正确就验证通过。

     (因为有些人喜欢钻牛角尖,所以再次强调下,我们习惯于区分 CSRFXSRF,后者是在 XSS的情况下,防范CSRF和防范XSS是需要分开的两套防御方案)

      由于CSRF的防范原理是比对token,所以需要存在两个token用来比对,其中一个,已经下发到用户的返回页面里去了,而且是用户提交请求时候的一个必须的参数。另外一个token,一般就存在于服务器的session中;当然这样会造成依赖于session,使得在restful的架构环境下不好在不同服务期间拷贝session,所以,还有一种做法就是将token放到保存了完整session的cookie中。

      JJYY了这么多ÿ
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值