防范 csrf 攻击措施中,为什么不建议在 url 中加入 token,?

网上找的资料一般认为在 url 中加入 token 可能会导致泄露,但这一点我始终无法理解,望指点。

阅读 5.9k
1 个回答

个人的一点点理解:
如果你的网站都是自己内部的地址,那带token应该是没什么问题的。但是如果在一些论坛之类的地方,一个网站上可能有各种链接,那就有问题了。
一个论坛网站W:http://a.com,如果访问论坛里面某个链接的地址是article.html?id=&token=, 这时候有个危险链接article.html?id=222&token=111,该页面是用户编辑的,里面挂了个诱惑性的地址http://d.com/danger.html, 在danger.html里面有个获取Referer的方法,得到了一个token,还有一个图<img src="http://a.com/modifyPwd?token=*">

  1. 用户U登录论坛W,授权成功
  2. 用户点击链接article.html?id=222&token=111,
  3. 用户点击了诱惑性的网址http://d.com/danger.html
  4. danger.html内通过img发出了http://a.com/modifyPwd?token=*
  5. 跨域攻击成功
撰写回答
你尚未登录,登录后可以
  • 和开发者交流问题的细节
  • 关注并接收问题和回答的更新提醒
  • 参与内容的编辑和改进,让解决方法与时俱进
宣传栏