一次性csrf標記的優點

Question

每個請求使用唯一的一次性csrf標記是否有優勢？

據可以想象的唯一一次性請求令牌的有用性，它是一個保護重定向或跟隨URL與csrf令牌。當用戶使用csrf令牌跟蹤url時它是有用的。服務器標記令牌在此請求期間已過期。用戶發佈帶有過期和可棄令牌的網址並不危險。

但是，當服務器繁忙或網絡傳輸錯誤發生時，csrf標記未標記爲過期。而這個有效的csrf令牌的網址正在變得可供用戶使用，並可能被公開。這個有效的csrf令牌可供用戶公開發布。

因此，一次性唯一csrf令牌在使用重定向或使用csrf令牌的url之後不能保證保護。因此，我們不得使用重定向或跟蹤URL與csrf令牌，但可能只使用這樣的URL作爲XMLHttpRequest（或ajax等）。

問題是，當我們不使用重定向或使用csrf標記跟蹤URL時，使用唯一的一次性每個請求令牌的原因是什麼？每個請求令牌具有獨特的一次性優勢嗎？

您如何看待兩種metod與腳本注入漏洞的區別？這種攻擊似乎無法用單個靜態csrf令牌和一次性唯一csrf令牌來反映。

Answer 1

爲每個請求使用唯一的CSRF令牌會爲應用程序添加一點安全性。例如，如果發生cookie劫持，唯一的令牌會阻止應用程序完全劫持。正如@Neil在他的評論中所說的，使用唯一的令牌會產生許多功能問題，例如多標籤，後退按鈕和緩存。