0
我讀This article關於防止CSRF通過創建一個nonce令牌,它將作爲變量發送到ajax函數中,同時會話保持與令牌中相同的值。這是一個好主意,因爲我真的不喜歡特別使用大型網站的會話,而這個網站一直有很多活躍用戶,這會影響整體表現嗎?通過生成隨機標記來防止CSRF?
A
回答
0
不,只要您對每個用戶都具有唯一的,不可估量的值,就不需要nonce。它可能是例如SHA1(user_id + "secret string nobody knows")。
相關問題
- 1. 防止隨機數多生成一次
- 2. 通過隨機字符生成生成隨機名字太慢
- 3. CSRF保護Codeigniter生成隨機令牌
- 4. 通過Javascript/HTML生成隨機鏈接
- 5. 生成一個Int隨機數來標記點擊Swift
- 6. 防止CSRF?
- 7. 在jscript中創建隨機數生成器並防止重複
- 8. 生成隨機元素位置,並防止在JavaScript中重疊
- 9. 通過郵遞員發送CSRF標記
- 10. 通過僞隨機樸素隨機數生成器生成隨機數序列的正確方法
- 11. 爲用戶標識生成隨機唯一標記
- 12. ResourceOwnerPasswordResourceDetails - 通過clientid和secret來生成oauth2標記
- 13. Rails的隨機記錄生成
- 14. Symfony - CSRF令牌的隨機生成器創建錯誤
- 15. 無法生成隨機的CSRF令牌! (phpmyadmin 4.6.4)
- 16. 防止相機通過'相框對象'
- 17. 生成隨機數
- 18. ArrayList隨機生成
- 19. 隨機數生成
- 20. Javascript隨機生成
- 21. 生成隨機ASCII
- 22. 生成隨機數
- 23. 生成隨機圖
- 24. 通過生成隨機數隨機選擇表的基礎上有百分比
- 25. Microdata標記的頁面生成隨機問號
- 26. 生成用於標識記錄的唯一隨機字符串
- 27. 生成易於記憶的隨機標識符
- 28. 使用標記在我附近生成隨機位置
- 29. 隨機生成圖中的「連通性」
- 30. 隨機數生成機制
是否使用ASP.NET MVC:
我在另一個問題回答有關隨機數和CSRF之間的區別?如果是這樣,你可以使用這裏提到的AntiForgeryToken http://davidhayden.com/blog/dave/archive/2009/04/29/AntiForgeryTokenInMVCFramework.aspx – 2011-05-01 13:47:40
@Duffman,不,我不? – 2011-05-01 14:05:14