11

csrf トークンを生成して検証する最良の方法は何ですか。私が収集できたものから、「投稿」フォームに非表示のフォームフィールドがある場合でも、ハッカーは ajax を使用してそのフォームを取得し、csrf トークンを取得して、サイトに別のリクエストを送信してフォームを送信できます。

そして、送信されたヘッダーを確認する場合...ハッカーは、csrf トークンをサーバー側のスクリプトに送信するだけで、http ヘッダーをエミュレートできます。

では、csrf トークンを実際に生成して検証するにはどうすればよいでしょうか。

4

1 に答える 1

8

すべてのトークンベースの CSRF 保護は XSS で打ち負かすことができます。これは、「収集できた」ように見えるものです。これはあなたにとって良い読み物になるでしょう:CSRFのOWASP

于 2011-05-12T12:03:16.040 に答える