내 프로젝트 중 하나에서 CSRF 토큰을 사용하여 CSRF 보호를 구현하려고합니다. 나는 이것에 익숙하지 않고 요청에 CSRF 토큰을 보내는 것에 대해 읽었으며 HTTP POST와 같은 CSRF 토큰을 보내는 것이 GET보다 권장된다. 내 질문 :URL에 CSRF 토큰이 표시되고 POST 요청에 토큰이 포함됨
HTTP URL이 GET 요청의 CSRF 토큰을 노출하고 잠재적 공격자가이 CSRF 토큰을 사용하고 Javascript를 사용하여 CSRF 요청을 생성 할 수있는 경우 CSRF 토큰 양식에 숨겨진 필드로 저장되어 있습니까? 내 사이트에 XSS 취약점이있는 경우 공격자는 숨겨진 필드에서 토큰을 가져 와서 해당 토큰과 함께 요청을 보낼 수 있습니다.
미리 감사드립니다.
왜 get 요청에 대해 csrf 보호가 필요합니까? – PeeHaa
필자는 그럴 필요가 없지만, 앞으로는 간단한 앵커 태그로 노출 된 URL에 토큰을 보내고 싶을 것입니다. –
왜 그렇게 했습니까? 그것은 그것의 요점은 무엇입니까? 관련 : http://stackoverflow.com/questions/3477333/what-is-the-difference-between-post-and-get – PeeHaa