验证防伪令牌的最佳方法?

问题描述 投票:0回答:1

我应该在请求中的哪个地方放置防伪令牌? (根据最新标准)

  • 标题
  • 表单主体
security standards owasp websecurity
1个回答
0
投票

实际上,它是特定模式的一部分,第一部分负责Cookie,第二部分位于Header或Form body中。

如果您查找“ 双重提交Cookie和加密令牌模式”,它将详细讨论。

总结

[它提供了由2个项目(或令牌集)组成的无状态防御机制,应在Antiforgery软件包验证的任何请求上都可以找到它:

  • 作为cookie包含的防伪令牌,作为伪随机值生成并加密。
  • 包括作为表单字段,标题或cookie的附加令牌。其中包括相同的伪随机值,以及来自当前用户身份的其他数据。此数据也已加密。
© www.soinside.com 2019 - 2024. All rights reserved.