阅读
OWASP CSRF prevention cheat sheet,提出防止这种攻击的方法之一是同步器令牌模式.
如果会话令牌在加密方面很强,那么它是否可以像下面的伪代码中所描述的那样加倍作为csrf令牌?
客户:
<script>
dom.replace(placeholder,getCookie("session-cookie"))
</script>
<form>
<input type="hidden" name="csrf-cookie" value="placeholder-value"/>
<input type="text" />
</form>
服务器:
if(request.getParameter("csrf-cookie") != user.getSessionCookie())
print "get out you evil hacker"
在页面加载时使用javascript设置cookie,以防止用户意外泄漏会话cookie,例如通过电子邮件将该页面的副本发送给朋友.
