【发布时间】:2013-01-03 16:36:45
【问题描述】:
这是一个好的 csrf 令牌吗?它是否有足够的熵,或者是否有一些容易猜到并且可以降低熵的部分,比如请求的时间?
一个示例 python 实现将是 b
token = hashlib.sha256(str(uuid.uuid4())).hexdigest()
【问题讨论】:
这是一个好的 csrf 令牌吗?它是否有足够的熵,或者是否有一些容易猜到并且可以降低熵的部分,比如请求的时间?
一个示例 python 实现将是 b
token = hashlib.sha256(str(uuid.uuid4())).hexdigest()
【问题讨论】:
uuid v4 有 122 个随机位(可能是 128 个),所以,是的,它应该可以作为 CSRF 令牌。
(顺便说一句,散列可以完成任何事情吗?除了随机排列随机位之外,它并没有做太多事情。)
【讨论】: