0

アプリを構築するとき、フォームへの攻撃を防ぐためにトークンを使用します

フォームがレンダリングされるたびに、フォームに非表示フィールドとして含める新しいONETIMEセキュリティトークンを取得します。このトークンもセッションに保存されます。

フォームが送信されると、トークンはセッション内のトークンと照合され、フォームが正当であることを確認します。これは、標準のページに最適です。

問題 Ajaxを使用してフォームを送信する場合、ページに複数のフォームが存在する可能性があります。これらのフォームの1つを送信すると、トークンは1回限りのトークンとして他のフォームに対して無効になります。

誰かがこれについてアドバイスしていますか?または、セッションごとに1つのトークンを生成し、フォームが送信されるたびにトークンを無効にする代わりにそれを使用するのに十分な安全性がありますか?

4

1 に答える 1

2

現在のアプローチに従いたい場合は、AJAXリクエストを実行するたびにセキュリティトークンを生成し、それをAJAXレスポンスで返し、取得時に非表示に挿入することができます。ただし、セキュリティトークンに対する現在のアプローチを再考します。ここに、OSWAPwikiにそれに関するいくつかのヒントがあります。

于 2010-05-19T14:54:46.140 に答える