我不明白使用「挑戰(zhàn)令牌」如何增加任何形式的預(yù)防:什麼值應(yīng)該與什麼進行比較��?
來自 OWASP:
一般來說��,開發(fā)者只需要
產(chǎn)生此令牌一次
目前會話��。初始後
該代幣的生成���,其值為
儲存在會話中並被使用
對於每個後續(xù)請求�����,直到
會話過期���。
如果我正確理解了這個過程,就會發(fā)生這樣的情況�。
我登入 http://example.com 並建立一個包含此隨機令牌的會話/cookie。然後����,每個表單都包含一個隱藏輸入,該輸入還包含來自會話的隨機值����,該值在表單提交時與會話/cookie 進行比較��。
但這能實現(xiàn)什麼目的呢����?您不是只是獲取會話數(shù)據(jù),將其放入頁面中�����,然後將其與完全相同的會話數(shù)據(jù)進行比較嗎?看起來像是循環(huán)推理����。這些文章一直在談?wù)撟裱巴床呗浴保@沒有任何意義���,因為所有 CSRF 攻擊都與用戶同源���,只是欺騙用戶做出他/她不希望的操作。
除了將令牌作為查詢字串附加到每個 URL 之外���,還有其他選擇嗎����?看起來非常醜陋且不切實際���,並且使用戶更難添加書籤���。
