0
這是一個很好的csrf標記嗎?它是否有足夠的熵,或者是否有部分易於猜測,並且可以像請求時間那樣減少熵?是一個散列uuid4一個很好的csrf標記?
一個例子Python實現將b
token = hashlib.sha256(str(uuid.uuid4())).hexdigest()
A
回答
1
UUID V4具有122個隨機比特(的可能的128),因此,是的,它應該是細作爲CSRF令牌。
(順便說一句,不散列這個一事無成?這不是真的這樣做太多其他的不是圍繞洗牌隨機位。)
相關問題
- 1. 在元標記中存儲csrf標記是否是一種很好的做法?
- 2. 它是一個很好的做法,同一列的多個表
- 3. 是CouchDB的一個很好的契合?
- 4. 哪一個更新散列內的散列最好?
- 5. 什麼是一個很好的jQuery timePicker?
- 6. 這是一個很好的習慣嗎?
- 7. 這是一個很好的實現gameloop
- 8. 這是一個很好的IF塊嗎?
- 9. 這是一個很好的使用ActionBar?
- 10. 這是一個很好的PATCH格局
- 11. PhpUnit是一個很好的習慣嗎?
- 12. 流星用戶很多散列標記
- 13. 哪一個是一個很好且簡單的中間代碼?
- 14. 有沒有更好的方法來判斷一個ruby散列是否在另一個散列?
- 15. 這是一個很好的書面測試還是很難看?
- 16. 2加密/散列的情況下,哪一個是最好
- 17. 什麼是一個整數元組的好散列函數?
- 18. 某處是否有一個很好的HTML Meta標籤概述?
- 19. 一個記錄而不是很多?
- 20. 轉換XML屬性(這是一個散列)到一個Ruby散列
- 21. 如何將一個散列轉換爲另一個散列?
- 22. 從另一個散列創建一個散列
- 23. 爲什麼第一個散列標記在vim中消失?
- 24. 散列是一個很好的方法來比較兩個32x64二維數組嗎?
- 25. 在任一個散列或散列
- 26. 是否更改散列內的散列不更新第一個?
- 27. Common Lisp:用很多條目初始化一個散列表的速記
- 28. JSON從一個URL到一個散列
- 29. 散列Python類是個好主意嗎?
- 30. ,在一個表中有500列是否很好?
我不知道多少透露了通過暴露uuid4的系統,所以我散列以掩蓋任何可能泄露的細節。 – bigblind
然後不打擾散列。這6個非隨機比特是針對uuid變體和版本的,與rfc4122相同,並且對於所有v4 uuids都是一樣的;他們沒有透露任何關於你係統的信息。 – broofa