1
我有一個PHP應用程序,它有一些jQuery和Ajax功能。我想知道,在每個Ajax請求(不加載頁面)時,如何重新生成會話令牌(我將發送它來驗證Ajax請求)?如何使用jQuery在每個Ajax請求上重新生成會話令牌?
我在頁面上有更多元素運行多個Ajax查詢,但是在這一刻他們都得到了相同的標記。所以如果有人擁有這個tokey,他們可以從另一個表單提交僞造的請求。
A
回答
0
在客戶端生成令牌毫無意義。你不能相信任何來自客戶端的東西,因爲你不知道它是發送請求的客戶端軟件還是惡意軟件。 您必須創建儘可能多的標記,因爲您擁有ajax可能的請求,並在每個響應中返回一個新標記。
+0
我從來沒有說過我打算在客戶端生成令牌。我想在服務器端生成它們,這是創建會話的唯一方法。 –
+0
對不起,我誤解了。那麼爲什麼你不爲你的頁面中的每個ajax調用生成一個不同的標記,並且每次調用ajax調用時都給它一個新的標記來代替它。這意味着你在服務器端的會話中存儲了一個令牌列表。 –
0
您應該爲每個用戶或每個會話在服務器端生成一個CSRF令牌。您可以將其存儲在數據庫中或會話中。您應該將該令牌發送給您的客戶端,並使用ajax請求等待它。它會工作,直到你的網站是不是XSS脆弱......
順便說一句的第一個步驟,以確保您的應用程序使用HTTPS協議...
相關問題
- 1. Kohana 3.2在每個請求上重新生成會話ID
- 2. Laravel5通過AJAX請求重新生成CSRF令牌。 Can not AJAX
- 3. 每次請求都會重新生成PHP會話:CodeIgniter
- 4. 如何在Ajax請求後重新生成jQuery Mobile樣式?
- 5. 新Ajax請求onComplete每個Ajax請求
- 6. 對於每個請求在Yii應用程序中生成新會話
- 7. Magento會話重設每個請求
- 8. Java新會話對於每個請求?
- 9. Laravel 5每個請求新會話
- 10. 如何刷新Rails中每個請求的CSRF令牌?
- 11. 爲OmniAuth生成OAuth請求令牌URL
- 12. 如何使用ajax請求重置ASP.Net會話狀態超時
- 13. ajax請求上的CSRF令牌
- 14. 爲FB應用程序內的每個請求生成新會話
- 15. jquery ajax請求在每個請求上呈指數級增長
- 16. 在每個請求上分配新會話ID的好習慣?
- 17. OAuth 2請求新的訪問令牌使用刷新令牌?
- 18. JSF-ViewScope bean在每個請求中都重新生成了
- 19. 如何讓NHibernate在每個請求使用會話時重試死鎖事務?
- 20. 如何用每個JsonP請求發送用戶令牌?
- 21. <f:ajax onerror>即使完成,也會在每個ajax請求上調用
- 22. 爲每個httpclient請求重複使用同一會話
- 23. jquery,如何使用多個Ajax請求?
- 24. 在提交Ajax時重新生成CRSF令牌codeigniter
- 25. 如何使用httr請求API令牌?
- 26. 重新生成會話/銷燬會話
- 27. 重新生成會話ID
- 28. 如何重置每個請求的會話?
- 29. Symfony2請求密碼請求不生成令牌
- 30. 如何使用axios發送ajax請求時添加令牌?
聽起來像一個http://meta.stackexchange.com/questions/66377/what-the-xy-problem – andrew