文档中说:
A would-be attacker needs not only a user's session cookie, but also this timestamped, secret CSRF token, which is refreshed/granted when the user visits a URL on your app's domain.
这是否意味着每当您访问 API 路由时都会获得一个新的 CSRF token ?或者是否有任何单个客户端终生收到 CSRF token ? Sails 何时决定向同一客户端授予不同 token ?
最佳答案
Sails 生成的 CSRF token 在 session 的生命周期内有效。的确,如果攻击者能够捕获此 token ,他们就能够使用它代表您提交请求。但是,如果他们已经将您的系统危害到可以窃听您和服务器之间的流量的程度,那么他们无论如何都不需要 CSRF token 来冒充您,所以这是一个有争议的问题。
关于rest - 使用带有 Sails.js 的 REST API 的 CSRF 保护,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28107518/