1
在同步標記模式,服務器產生隨機的令牌,該令牌必須由每個表單提交由客戶提出的。客戶如何才能瞭解在服務器中創建的CSRF令牌?如何在使用同步器令牌模式時將CSRF令牌發送給客戶端?
在同步標記模式,服務器產生隨機的令牌,該令牌必須由每個表單提交由客戶提出的。客戶如何才能瞭解在服務器中創建的CSRF令牌?如何在使用同步器令牌模式時將CSRF令牌發送給客戶端?
在GET請求,您可以把令牌到結果頁。它可以作爲隱藏字段寫入,以便在發送表單時自動發送,或者以元標題(<meta name="csrftoken" content="...">
)或其他任何方式發送。
如果只是普通的舊形式的職位,一個隱藏字段可能是最容易的。如果涉及到javascript(ajax請求),那麼您可能會更適合使用頁面中的一箇中心位置(如meta標頭),任何javascript都可以從中獲取該位置。
還與形式,你可以爲每個新的頁面下載不同的令牌,但對於Ajax的應用程序重改變令牌將導致問題 - 對於大多數應用程序,每個登錄會話一個令牌是可以接受的。
但我原來的問題是如何在服務器發送生成的令牌? –
@KasunDharmadasa我想我只是回答了這個問題。服務器將令牌放入客戶端生成的頁面中,可以是每種形式,也可以是單個隱藏字段,JS值或元首,或者幾乎任何您可以想到的方式。它將成爲對頁面請求的響應的一部分。 –
如果服務器只提供靜態'index.html'文件,該怎麼辦? – Rachmaninoff