0

私の最初のコードは、CRUD操作のように、データベースの状態を変更する可能性のあるリクエストのトークンを生成しました。トークンはリクエストごとに生成されました。他のデータと一緒にJSON形式でクライアント側に送信され、このトークンがリクエストとともに返され、リクエストの完了後に変更されることを期待していました。しかし、コードの一部(CRUD操作)にのみ実装したため、やり直してWebアプリ全体にするように言われました。これを行う最良の方法はフィルターを使用することだと思います。

私の問題は、クライアントにリクエストごとに「トークン」を送信させるにはどうすればよいですか?クッキーにセットしますか?私のオプションは何ですか?ご意見をお聞かせください。

4

1 に答える 1

0

最善の方法は、すべてのリンクが GET 要求である必要があり、get 要求内でアプリケーションの状態を変更しないことです。したがって、GET リクエストの場合、CSRF トークンは必要ありません。

アプリケーションの状態を変更する POST リクエストでは、フォームの csrf 非表示フィールドを生成し、フォームの送信中にサーバーでトークンを検証する必要があります。

于 2012-11-16T08:33:32.867 に答える