방금 CSRF에서 Doctype's 에피소드를 보았습니다.CSRF 및 변경 토큰
CSRF에 대한 최선의 예방책은 일부 사용자 고유 데이터 (예 : 세션 ID 해시)로 토큰을 생성 한 다음 요청과 함께 게시하는 것입니다.
추측하기 어려운 값 (예 : GUID)을 생성하고이를 세션 변수로 저장하여 페이지에 숨겨진 필드로 저장하는 것이 안전하지 않습니까?
페이지가로드 될 때마다 값이 변경되지만 POST 된 데이터의 테스트는 그 전에 올 것입니다.
이것은 마치 나처럼 안전합니다. 내가 잘못?
가능한 복제본 : http://stackoverflow.com/questions/2250263/csrf-protection-by-storing-nonce-in-session-variable-and-form – Marius
감사합니다. Marius. 내가 찾을 때 찾지 못했습니다. –