0

私はこの記事を読んでいて、トークンと同じ値を保持するセッションとともに、ajax関数で変数として送信されるナンストークンを作成してCSRFを防ぐことについて説明しました。常に多くのアクティブなユーザーがいる大規模な Web サイトでセッションを使用するのは本当に好きではないので、これは良い考えですか?

4

1 に答える 1

0

いいえ、各ユーザーに固有の推測不可能な値がある限り、nonce は必要ありません。たとえばSHA1( user_id + "secret string nobody knows")

別の質問でナンスとCSRFの違いについて答えました:

https://stackoverflow.com/a/9803497/27009

于 2012-03-21T11:22:46.507 に答える