关于csrf的几点困惑

manbudezhu
  • 231

在做网站时针对csrf的问题,有几点困惑

1.以一个简单的文章管理为例
clipboard.png
删除或编辑时,通常采用的是如下的get传值的方式.

<a href='/delete?id=3'>刪除</a>

这种方式都存在csrf的漏洞.该怎么防范了,不是要每个get网址后加token参数吧.或者类似操作全部改成post方式?

2.token 如何实现并行会话兼容,我在网上找不到相应的案例和代码,一点思路也没有.

3.大家通常在项目怎么处理csrf的安全问题了

回复
阅读 1.9k
1 个回答
  1. 一个页面给一个token差不多了,POST并不能防止CSRF,因为可以用js生成表单post提交。

  2. session(对同一个session生成同样的token)

  3. 提交数据的时候带上页面里面注入的token,服务端验证。

撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
宣传栏