3

多くのフォーラムや他のサイトで、POST または GET メソッドでセキュリティ トークン (長い文字列) を使用しているのを見てきました。例 (POST メソッド):

<input
    type="hidden"
    name="securitytoken"
    value="1363774829-89afb5d0fbcd2f8d55db0b675061d62bd21ca94e"
/>

GET メソッドの例:

http://www.example.com?attribute=xyz&token=f0ec0e8e1622a030cbc543d3ac42729e

このセキュリティトークンは何ですか? そして、なぜそれが使われるのですか?どのような種類のセキュリティが提供されますか? どこで使用する必要がありますか?

4

1 に答える 1

7

おそらく「CSRF(クロスサイトリクエストフォージェリ)」を防ぐためのトークンです。

例えば、

  • あなたはフォーラムにログインしています
  • あなたはevilhacker.comに行きます
  • Evilhacker には、スパムをフォーラムに送信する自動送信フォームがあります。
  • あなたはログインしているので、(あなたの名前で) スパムを投稿します。

しかし、フォーラムはあなたのセッションに関連付けられた何らかのトークンを必要とするため (evilhacker が自分のフォームでそれを推測できないようにするため)、投稿は拒否され、あなたはスパムを投稿しませんでした。

詳細を確認したい場合は、この論文をお読みください

于 2013-03-20T10:32:51.373 に答える