什么是生成csrf令牌和验证的最佳方法。通过我的收集,即使您在“发布”表单中有一个隐藏的表单字段,黑客也可以使用ajax轻松获取该表单,获取csrf令牌,然后向站点发送另一个请求以提交表单。 >
并且如果我们要检查发送给我们的标头...,那么黑客可以简单地将csrf令牌发送到服务器端脚本,该脚本随后将模拟http标头。
那么,如何实际生成和验证csrf令牌?
什么是生成csrf令牌和验证的最佳方法。根据我的能力,即使您在“ post”表单中有一个隐藏的表单域,黑客也可以使用ajax来简单地获取该表单,请采取...
所有基于令牌的CSRF保护都可以通过XSS击败,这似乎是您“已经能够收集到的”。这对您来说是一本好书:OWASP on CSRF