javascript – 使用(加密强)会话cookie作为CSRF令牌是否可以?

前端之家收集整理的这篇文章主要介绍了javascript – 使用(加密强)会话cookie作为CSRF令牌是否可以?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
阅读 OWASP CSRF prevention cheat sheet,提出防止这种攻击的方法之一是同步器令牌模式.

如果会话令牌在加密方面很强,那么它是否可以像下面的伪代码中所描述的那样加倍作为csrf令牌?

客户:

<script>
dom.replace(placeholder,getCookie("session-cookie"))
</script>

<form>
<input type="hidden" name="csrf-cookie" value="placeholder-value"/>
<input type="text" />
</form>

服务器:

if(request.getParameter("csrf-cookie") != user.getSessionCookie())
    print "get out you evil hacker"

页面加载时使用javascript设置cookie,以防止用户意外泄漏会话cookie,例如通过电子邮件将该页面的副本发送给朋友.

解决方法

外部站点无法检索的任何内容都可以用作CSRF令牌.所以会话cookie的内容对此是好的.

猜你在找的JavaScript相关文章