一次性csrf标记的优点

Question

每个请求使用唯一的一次性csrf标记是否有优势？

据可以想象的唯一一次性请求令牌的有用性，它是一个保护重定向或跟随URL与csrf令牌。当用户使用csrf令牌跟踪url时它是有用的。服务器标记令牌在此请求期间已过期。用户发布带有过期和可弃令牌的网址并不危险。

但是，当服务器繁忙或网络传输错误发生时，csrf标记未标记为过期。而这个有效的csrf令牌的网址正在变得可供用户使用，并可能被公开。这个有效的csrf令牌可供用户公开发布。

因此，一次性唯一csrf令牌在使用重定向或使用csrf令牌的url之后不能保证保护。因此，我们不得使用重定向或跟踪URL与csrf令牌，但可能只使用这样的URL作为XMLHttpRequest（或ajax等）。

问题是，当我们不使用重定向或使用csrf标记跟踪URL时，使用唯一的一次性每个请求令牌的原因是什么？每个请求令牌具有独特的一次性优势吗？

您如何看待两种metod与脚本注入漏洞的区别？这种攻击似乎无法用单个静态csrf令牌和一次性唯一csrf令牌来反映。

Answer 1

为每个请求使用唯一的CSRF令牌会为应用程序添加一点安全性。例如，如果发生cookie劫持，唯一的令牌会阻止应用程序完全劫持。正如@Neil在他的评论中所说的，使用唯一的令牌会产生许多功能问题，例如多标签，后退按钮和缓存。