我正在寻找一种防止 CSRF 攻击的方法,但对如何将 CSRF 令牌传递给客户端感到困惑。我想避免将令牌插入 HTML,因为我想最小化服务器端渲染并选择静态提供的页面。为了进行身份验证,正在使用带有 cookie 的会话。
那么如何将 CSRF 令牌发送给客户端呢?我读到过有关“双重发布”策略的内容,但读到它比将令牌插入 html 服务器端安全性较低。另一种选择是在页面提供请求 CSRF 令牌后向服务器发送单独的经过身份验证的 GET 请求吗?然后,服务器将 CSRF 令牌存储在用户的会话中,并将其发送回客户端。 抱歉,如果这是一个愚蠢的问题,但我想确定一下:)
这样,默认机器人应该无法使用不同的数据正确发送此类表单。