我正在为我的网站开发CSRF保护。
我在表单+会话中将隐藏输入中的令牌保存,然后我检查它们是否相等。
我只是想知道这种情况:
在这种情况下,这可能吗?我错过了什么吗?
每个网站都必须有一个唯一的令牌才能使其工作,并且它被分配给服务器端。看看我们如何制作它的一个小例子:https://blog.myetv.tv/2017/09/18/writing-secure-code-how-myetv-do-crypt-auth-transfer-and-store-informations/
您可以在令牌中使用sessionID或/和其他类型的数据,例如userip(如果您希望也可以使用AES加密它们,使其更加独特,基本上无法克隆);加密方法只是额外的,并且在速度方面可能非常密集,您应该重视它的使用方式(在大多数情况下,使用SHA进行散列的唯一sessionid是可以的)。
希望能帮助到你 ;)