내가 양식에 대한 공격을 방지하기 위해 토큰을 사용 요청보안 토큰 문제는 응용 프로그램을 구축 할 때
나는 등의 형태로 포함 한 형태는 새로운 ONE TIME 보안 토큰을 얻는다 렌더링 될 때마다 숨겨진 필드. 이 토큰은 세션에도 저장됩니다.
양식이 전송 될 때 토큰이 세션의 토큰과 비교되어 양식이 합법적인지 확인합니다. 이것은 표준 페이지에 잘 작동합니다.
문제 형태를 보내 Ajax를 사용할 때 이러한 양식 중 하나를 전송하면, 한 페이지에 여러있을 수 있습니다, 토큰이 그와 다른 한 시간 토큰에 대한 다음 유효하지 않습니다.
누구 에게라도 조언이 필요합니까? 또는 세션 당 하나의 토큰을 생성하고 폼이 전송 될 때마다 토큰을 무효화하는 대신이를 사용하기에 충분히 안전합니까?
정상적인 양식 중 일부를 별도의 탭에서 열면 어떻게됩니까? 한 번에 여러 개의 유효한 토큰을 세션에 보관합니까? –
thats 아주 좋은 질문, 솔직히 말해서 한 토큰을하는 방법을 알아 내려고 노력하고 있습니다. 현재 세션에 좋은 토큰이 있습니다. 아약스가 유일한 문제가 아니라는 점을 여러분의 질문이 생각합니다. –