【问题标题】:It's secure to update the CSRF token on every request passed as the response? (AJAX)在作为响应传递的每个请求上更新 CSRF 令牌是否安全? (阿贾克斯)
【发布时间】:2014-08-14 17:51:17
【问题描述】:

我正在考虑如何在我们的 Web 应用程序中实现 CSRF 令牌。我知道如何使用一个简单的 HTTP POST 来做到这一点。当我们谈论 AJAX 时,我们的问题就出现了,我知道我必须将令牌附加到我们的请求中,但是......然后我应该使用新令牌进行更新。

这只会在请求有效时发生,因此如果它有效,它将返回一个新的 CSRF 令牌作为 JSON 返回的数据的一部分。

是这样吗?还是有更好的方法?

谢谢

【问题讨论】:

    标签: csrf


    【解决方案1】:

    如果您这样做,您将面临大量失败请求的风险,具体取决于您的应用程序。例如,如果用户在多个选项卡中打开您的网站。

    我建议在一段时间内保持 CSRF 令牌相同,就像您使用会话令牌一样。不必每次请求都更改它。

    【讨论】:

      猜你喜欢
      • 2013-09-19
      • 2019-07-12
      • 1970-01-01
      • 2012-05-15
      • 2010-10-11
      • 1970-01-01
      • 1970-01-01
      • 2020-10-22
      • 2014-07-17
      相关资源
      最近更新 更多