每个请求使用唯一的一次性csrf标记是否有优势?一次性csrf标记的优点
据可以想象的唯一一次性请求令牌的有用性,它是一个保护重定向或跟随URL与csrf令牌。当用户使用csrf令牌跟踪url时它是有用的。服务器标记令牌在此请求期间已过期。用户发布带有过期和可弃令牌的网址并不危险。
但是,当服务器繁忙或网络传输错误发生时,csrf标记未标记为过期。而这个有效的csrf令牌的网址正在变得可供用户使用,并可能被公开。这个有效的csrf令牌可供用户公开发布。
因此,一次性唯一csrf令牌在使用重定向或使用csrf令牌的url之后不能保证保护。因此,我们不得使用重定向或跟踪URL与csrf令牌,但可能只使用这样的URL作为XMLHttpRequest(或ajax等)。
问题是,当我们不使用重定向或使用csrf标记跟踪URL时,使用唯一的一次性每个请求令牌的原因是什么?每个请求令牌具有独特的一次性优势吗?
您如何看待两种metod与脚本注入漏洞的区别?这种攻击似乎无法用单个静态csrf令牌和一次性唯一csrf令牌来反映。
非会话csrf令牌杀回按钮和缓存 –