不是很清楚防御csrf攻击的流程尤其是token是怎么生成的？为什么前后端会对应的上？是不是还要一个请求让后端把每次不同的token给前端？

CSRF token 的生成，下发，上送，校验 1. 生成由服务端生成随机唯一的字符串（ GUID , UUID 等），并保存到服务端的 session 或者其他服务端缓存（如Redis）; token 的缓存最好有过期时间；如果希望提高 token 的安全性可以对生成的 token 进行对称加密。 2. 下发下发是服务端如何把生成的 CSRF token 传给客户端，方式很多了，看客户端怎么方便提取并传给后端。千万别，千万别，千万别通过 Set-Cookie 下发；喷到页面里作为约定的全局变量；最好和后端一起确定一个标准的下发和上送方式。 3. 上送上送：是客户端调用接口时提取 CSRF token 并传给服务。看请求接口类型也后很多上送方式。针对 GET 请求可以放入queryString里； Form POST 请求可以添加隐藏域； AJAX , fetch 请求还可以采用放入request header里；最好和后端一起确定一个标准的上送方式。 4. 校验服务端从请求里获取客户端上送的 token ；解密（如果之前有加密的话）；再跟从 Seesion 获取缓存的值对比。摘自 gitHub笔记

随机生成。啥叫“前后端对应上”？利用 Token 来防御 CSRF 的往往是前后端不分离的站点，服务端渲染的时候就已经带着 Token 了，返回给浏览器即可。浏览器提交表单时原样传回这个 Token，服务端比对一下是不是之前下发过的就行。但如果是前后端分离的，没必要这么做啊，多个接口返回的话反倒增加了 XSS 的风险啊。要么直接 Samesite Cookie 了，要么比对 Origin/Referrer 就行了啊。

CSRF的token是怎么生成的？

`CSRF token`的生成，下发，上送，校验

1. 生成

由服务端生成随机唯一的字符串（GUID, UUID等），并保存到服务端的session或者其他服务端缓存（如Redis）;

token的缓存最好有过期时间；

如果希望提高token的安全性可以对生成的token进行对称加密。

2. 下发

下发是服务端如何把生成的CSRF token传给客户端，方式很多了，看客户端怎么方便提取并传给后端。

千万别，千万别，千万别通过Set-Cookie下发；
喷到页面里作为约定的全局变量；
最好和后端一起确定一个标准的下发和上送方式。

3. 上送

上送：是客户端调用接口时提取CSRF token并传给服务。看请求接口类型也后很多上送方式。

针对GET请求可以放入queryString里；
Form POST请求可以添加隐藏域；
AJAX, fetch请求还可以采用放入request header里；
最好和后端一起确定一个标准的上送方式。

4. 校验

服务端从请求里获取客户端上送的token；
解密（如果之前有加密的话）；
再跟从Seesion获取缓存的值对比。

摘自gitHub笔记

CSRF的token是怎么生成的？

`CSRF token`的生成，下发，上送，校验

1. 生成

2. 下发

3. 上送

4. 校验

你尚未登录，登录后可以

js 如何将Key属性相同的放在同一个数组？

为什么在谷歌浏览器中 'a' == ['a'] 返回 true？

vue项目如何在初始化之前跳转外部页面？

js如何控制移动端overflow:scroll容器滑动的最大速度？

前端代码更新如何通知用户刷新页面？

纯css如何绘制一个无背景色有边框色，带有文字的倒等腰梯形？

请问zustand的slice里面的属性，如何配置TypeScript类型约束？

CSRF的token是怎么生成的？

CSRF token的生成，下发，上送，校验

1. 生成

2. 下发

3. 上送

4. 校验

你尚未登录，登录后可以

js 如何将Key属性相同的放在同一个数组？

为什么在谷歌浏览器中 'a' == ['a'] 返回 true？

vue项目如何在初始化之前跳转外部页面？

js如何控制移动端overflow:scroll容器滑动的最大速度？

前端代码更新如何通知用户刷新页面？

纯css如何绘制一个无背景色有边框色，带有文字的倒等腰梯形？

请问zustand的slice里面的属性，如何配置TypeScript类型约束？

`CSRF token`的生成，下发，上送，校验