4
최근에 csrf 토큰에 대해 읽었습니다. 내 프로젝트를 개발하기 위해 YII 프레임 워크를 사용하고 있습니다. config/main.php에서 csrf 확인을 활성화했으며 yii가 숨겨진 양식 필드에 토큰을 넣습니다. 토큰이 유효한지 확인하십시오. 모든 것이 좋습니다. 그러나 나는 페이지를 새로 고치고 페이지의 모든 폼이 동일한 토큰을 사용할 때 CSRF 토큰의 값이 변하지 않는다는 것을 관찰했다.YII 프레임 작업에서 CSRF 토큰이 얼마나 자주 변경됩니까
나는이게 당혹 스러웠다. csrf 토큰이 변경되지 않으면 해커는 요청시 해당 토큰을 사용할 수 있으며 유효한 요청을 생성 할 수 있습니다. 그렇다면 csrf 토큰은 어떻게 보안을 제공 할 수 있습니까? YII 프레임 워크에 문제가 있습니까? 또는 나는 어떤 것을 놓쳤는가? 내가 뭔가를 놓쳤 으면 좋겠다. 수동으로 토큰을 생성해야하는 경우 (예 : YII 프레임 워크에서 바람직하게 YII 프레임 워크에서 생성 및 검증하는 방법을 알려주십시오)
그래서 2 개의 토큰이 생성되고 하나는 쿠키에 저장되고 다른 하나는 양식의 숨겨진 필드에 저장됩니다. 그리고 YII는 둘 다 확인합니까? – prasadmsvs
예. 또한 세션 시작 시간에 토큰을 생성하고 세션에서 유지하고 쿠키를 사용하지 않고 확인할 수 있습니다. – Hemc