问答博客资讯标签用户活动
logo极客观点logo项目管理logoHarmonyOS
javascript
前端
python
node.js
react
vue.js
php
laravel
go
人工智能
mysql
linux
ios
java
android
css
typescript
spring
程序员
logoONES 研发管理logo思否企业问答logo安谋科技 XPU

关于csrf的几点困惑

头像
manbudezhu
    234267104

    在做网站时针对csrf的问题,有几点困惑

    1.以一个简单的文章管理为例
    clipboard.png
    删除或编辑时,通常采用的是如下的get传值的方式.

    <a href='/delete?id=3'>刪除</a>

    这种方式都存在csrf的漏洞.该怎么防范了,不是要每个get网址后加token参数吧.或者类似操作全部改成post方式?

    2.token 如何实现并行会话兼容,我在网上找不到相应的案例和代码,一点思路也没有.

    3.大家通常在项目怎么处理csrf的安全问题了

    安全攻击csrf
    阅读 2.9k
    1 个回答
    得票最新
    头像
    JasonKidd
      3.3k1521

      1. 一个页面给一个token差不多了,POST并不能防止CSRF,因为可以用js生成表单post提交。

      2. session(对同一个session生成同样的token)

      3. 提交数据的时候带上页面里面注入的token,服务端验证。

      撰写回答
      你尚未登录,登录后可以
      • 和开发者交流问题的细节
      • 关注并接收问题和回答的更新提醒
      • 参与内容的编辑和改进,让解决方法与时俱进
      推荐问题