每個請求使用唯一的一次性csrf標記是否有優勢?一次性csrf標記的優點
據可以想象的唯一一次性請求令牌的有用性,它是一個保護重定向或跟隨URL與csrf令牌。當用戶使用csrf令牌跟蹤url時它是有用的。服務器標記令牌在此請求期間已過期。用戶發佈帶有過期和可棄令牌的網址並不危險。
但是,當服務器繁忙或網絡傳輸錯誤發生時,csrf標記未標記爲過期。而這個有效的csrf令牌的網址正在變得可供用戶使用,並可能被公開。這個有效的csrf令牌可供用戶公開發布。
因此,一次性唯一csrf令牌在使用重定向或使用csrf令牌的url之後不能保證保護。因此,我們不得使用重定向或跟蹤URL與csrf令牌,但可能只使用這樣的URL作爲XMLHttpRequest(或ajax等)。
問題是,當我們不使用重定向或使用csrf標記跟蹤URL時,使用唯一的一次性每個請求令牌的原因是什麼?每個請求令牌具有獨特的一次性優勢嗎?
您如何看待兩種metod與腳本注入漏洞的區別?這種攻擊似乎無法用單個靜態csrf令牌和一次性唯一csrf令牌來反映。
非會話csrf令牌殺回按鈕和緩存 –