我是一个web应用程序的新手。我知道SO中已经提出了XSRF保护问题,但问题是针对特定语言(例如RoR/Python)或库(jQuery)的。我想知道如何在我的Web应用程序中实现XSRF保护。如何在Web应用程序中设置XSRF保护?
我的理解是,XSRF保护依赖于使用唯一的随机标记,在发出HTTP请求时必须进行身份验证。我有以下问题:
- 什么时候认证令牌被初始化?是否应该在页面加载时设置(即GET请求)?
- 令牌应该在哪里初始化?它们是否应该在输入字段,Cookie或请求标头中设置?这个随机值是如何产生的?我如何坚持这个价值以便用于比较?
- 验证令牌何时应验证?我如何比较认证令牌?我如何将这些令牌与我一直坚持的令牌进行比较?
在设置同步表单请求和AJAX请求方面有差异吗?
尝试获得在OWASP网站https://www.owasp.org/index.php/Top_10_2013-A8-Cross-Site_Request_Forgery_(CSRF) – LRA