在整个 session 中使用相同的 CSRF token 是否可以接受?我认为没有任何理由更改 session 不超过几个小时的 CSRF token 。
有什么理由使用一次性 token 吗?根据我的经验,这些通常会导致糟糕的用户体验。
最佳答案
在整个 session 中使用单个 token 是一个有效的选项,但请注意您的站点可能包含可以绕过 CSRF 防御的漏洞。例如 XSS 或只是在发送/接收敏感页面时缺乏加密。
我个人使用 session token ,但添加了更多。我将可能的用户操作分为几层,其中最高层包含最敏感的操作,最低层是常见的非敏感操作。对于最高层,我要求用户再次进行身份验证,而中间层只需要 session CRSF token 。
希望这有帮助:)
关于security - 在整个 session 中使用相同的 CSRF token 是否可以接受?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22866230/