1

CSRF トークンを Web アプリケーションに実装する方法を考えていました。単純な HTTP でそれを行う方法を知っていますPOST。私たちの問題は、AJAX について話すときに発生します。リクエストにトークンを添付する必要があることはわかっていますが、新しいトークンで更新する必要があります。

これは、リクエストが有効な場合にのみ発生するため、有効な場合は、JSON で返されるデータの一部として新しい CSRF トークンが返されます。

それは正しいですか?またはそれを行うためのより良い方法はありますか?

ありがとう

4

1 に答える 1

0

そのようにすると、アプリケーションによっては、多くのリクエストが失敗するリスクがあります。たとえば、ユーザーがサイトを複数のタブで開いているとします。

セッション トークンと同じように、CSRF トークンを一定期間保持することをお勧めします。リクエストごとに変更する必要はありません。

于 2014-08-14T09:51:17.147 に答える