我在许多论坛和其他网站上看到他们在 POST 或 GET 方法中使用安全 token (一个长字符串)。例如(POST 方法):
<input
type="hidden"
name="securitytoken"
value="1363774829-89afb5d0fbcd2f8d55db0b675061d62bd21ca94e"
/>
GET 方法示例:
http://www.example.com?attribute=xyz&token=f0ec0e8e1622a030cbc543d3ac42729e
这个安全 token 是什么?为什么使用它?它提供什么类型的安全性?应该用在什么地方?
最佳答案
它可能是防止“CSRF”(跨站点请求伪造)的 token 。
例如,
- 您已登录论坛
- 你去evilhacker.com
- evilhacker 有一个自动提交表单,可以向论坛发送垃圾邮件
- 因为您已登录,所以您发布了(以您的名义)垃圾邮件。
但是因为论坛需要一些与您的 session 相关的 token (所以 evilhacker 无法根据自己的形式猜测它),该帖子被拒绝并且您没有发布垃圾邮件。
如果您想查看一些详细信息,read this paper
关于php - 什么是安全 token 以及为什么在表单中使用它?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15520977/