极客观点
项目管理
HarmonyOS
一般token为了防止重复提交和csrf攻击会在session中存一份,然后页面上用隐藏域也存一份,但是隐藏域的token是可以在html代码里看到的,不知道有没有其他方式可以让客户端的token也能隐藏起来,不然黑客也可以通过页面来拿到token进而伪造请求?
一般token为了防止重复提交和csrf攻击会在session中存一份,然后页面上用隐藏域也存一份,但是隐藏域的token是可以在html代码里看到的,不知道有没有其他方式可以让客户端的token也能隐藏起来,不然黑客也可以通过页面来拿到token进而伪造请求?
为什么要隐藏?token 就是用来 “防重放”,它用过一次就失效了。
还是那句话,只要浏览器能做到的,你总能通过其他技术手段获取到跟浏览器一样的渲染结果(包括 JS 执行)。