crsfトークンを<head>メタタグなどに入れて、サーバーでアクセスできるかどうか疑問に思います。それは本当にプロセスを単純化し、それをより透明にするでしょう。方法がわかりません。私はJavaScriptを使わずにこれを行うことを本当に望んでいました。
railsはそのようなものを実装していると思います...多分etagsで?
1776 次
2 に答える
3
CSRFトークンの基本的な目的は、フォームが送信されるたびにサーバーに返送されることです。一意のトークンをページに配信し、そのページのフォームが送信されると、トークンが一緒に返されます。
フォームにトークンを含めない場合(またはJavaScriptを使用して、現在ページの他の場所にあるフォームにトークンをプログラムで追加する場合)、トークンはサーバーに返送されません。
おそらくより良い質問は、あなたが本当に達成しようとしていることは何ですか?つまり、フォームにCSRFトークンを含めたくないのはなぜですか?シナリオで克服したい不利な点は何ですか?
于 2012-07-22T21:28:05.727 に答える
3
CSRF防止に関するチートシートに記載されている方法はたくさんあります。すべてのフォームに隠しフィールドを必要としないのは、リファラーをチェックすることです。リファラーの欠如はCSRF攻撃と見なされるべきであり、一部のプライバシーブラウザーアドオンで問題を引き起こす可能性があることに注意してください(これは非常にまれです)。
于 2012-07-23T00:26:51.223 に答える