我有一个将表单注入到另一个服务器的网页的书签。该表单通过JSONP使用jQuery将数据提交回我的服务器,并将提交的数据添加到数据库中。CSRF风险和令牌
问:这种注射的形式也包含在一个隐藏字段一个CSRF令牌:
<input type="hidden" name="csrf_token" value="MWkgtQbdH6maJhuGL7ObwPcbgqARUCTjb4NSdo29">
请问这仍然构成CSRF风险?
我有一个将表单注入到另一个服务器的网页的书签。该表单通过JSONP使用jQuery将数据提交回我的服务器,并将提交的数据添加到数据库中。CSRF风险和令牌
问:这种注射的形式也包含在一个隐藏字段一个CSRF令牌:
<input type="hidden" name="csrf_token" value="MWkgtQbdH6maJhuGL7ObwPcbgqARUCTjb4NSdo29">
请问这仍然构成CSRF风险?
你是如何生成令牌的? – meagar
令牌由我的PHP框架生成并存储在会话cookie中。 http://laravel.com/docs/views/forms#csrf-protection – Nyxynyx