0
我讀This article關於防止CSRF通過創建一個nonce令牌,它將作爲變量發送到ajax函數中,同時會話保持與令牌中相同的值。這是一個好主意,因爲我真的不喜歡特別使用大型網站的會話,而這個網站一直有很多活躍用戶,這會影響整體表現嗎?通過生成隨機標記來防止CSRF?
我讀This article關於防止CSRF通過創建一個nonce令牌,它將作爲變量發送到ajax函數中,同時會話保持與令牌中相同的值。這是一個好主意,因爲我真的不喜歡特別使用大型網站的會話,而這個網站一直有很多活躍用戶,這會影響整體表現嗎?通過生成隨機標記來防止CSRF?
不,只要您對每個用戶都具有唯一的,不可估量的值,就不需要nonce。它可能是例如SHA1(user_id + "secret string nobody knows")
。
是否使用ASP.NET MVC:
我在另一個問題回答有關隨機數和CSRF之間的區別?如果是這樣,你可以使用這裏提到的AntiForgeryToken http://davidhayden.com/blog/dave/archive/2009/04/29/AntiForgeryTokenInMVCFramework.aspx – 2011-05-01 13:47:40
@Duffman,不,我不? – 2011-05-01 14:05:14