极客观点
项目管理
HarmonyOS
采用token方式防范CSRF问题,服务端先生成一个token,缓存起来,并返回给前端,当前端产生重要请求时候,url附加csrftoken参数,服务端再将之与缓存的token比较,从而达到防范csrf的目的。
这里有个疑问,服务端产生的token发给前端,恶意用户不也能获取这个token吗,拿到它也能达到自己的目的啊?
关于csrf防范,token方式防范
java阅读 2.1k
撰写回答
你尚未登录,登录后可以
- 和开发者交流问题的细节
- 关注并接收问题和回答的更新提醒
- 参与内容的编辑和改进,让解决方法与时俱进
推荐问题
js 如何将Key属性相同的放在同一个数组?
{代码...} 说明:id和name是动态的,有可能后台返回的是age和school,不是固定id和name想要的结果是; {代码...}10 回答11.7k 阅读
前端代码更新如何通知用户刷新页面?
前端代码更新如何通知用户刷新页面?2 回答3.2k 阅读✓ 已解决
Spring中的两个疑惑?
使用注解的写法是否违背了Spring诞生的初衷?看了很多Spring教程,在讲述为什么要使用Spring的时候,都提出了一个很重要的原因就是,以前的8 回答6.6k 阅读
如何解决浏览器清除缓存导致axios请求404?
我的vue工程中使用axios请求。在页面加载时将baseurl存放在了sessionStorage中,封装request时通过获取session创建axios对象。现在偶尔会出现清除浏览器缓存时请求报404 因为baseurl被清除了。思索了很久没懂为什么会出现这种情况,页面加载时axios对象不就已经创建成功吗 中途清缓存怎么会影响到对象内部呢。4 回答2.2k 阅读✓ 已解决
chrome控制台的$不是jquery ?
$只返回了一个元素. queryAll返回两个.ƒ $() { [native code] } 哪里有关有这个函数的实现? 为什么只返回一个元素?3 回答1.2k 阅读✓ 已解决
Hyperf Swagger 如何使用?
根据 https://hyperf.wiki/3.1/#/zh-cn/swagger?id=hyperf-swagger 官方文档安装配置,但是文档太简单了,出了问题不知道怎么排查,网络文章写的也让人摸不着头脑,不知道别人的json 是怎么生成的。2 回答2.5k 阅读✓ 已解决
诺依框架自动生成代码前端Vue3提交数据,后端Java没收到问题出在哪里?
使用诺依框架自动生成代码功能。前端在请求地址处打印提交数据(有数据)如下图,后端Debug模式,进入断点查看数据如下图所示(无数据),问题一般出在哪里?========== Payload ===========4 回答714 阅读✓ 已解决
先上一段定义。假设我们的页面(www.51vv.com),正在浏览(www.baidu.com)页面,两个页面同时浏览,www.baidu.com里面有一段代码,通过src或者什么表单提交的方式,恶意访问我www.51vv.com的改密码接口。因为默认他是会带cookie,后台以为是你主动去请求。这样就造成了攻击。
为什么token这个可以防范,你在一个tab页面里面,可以访问其他tab页的变量吗?