我想知道我是否可以将 crsf token 放入 <head> ,在元标记或其他东西上,然后在我的服务器上访问它。它确实会简化流程并使其更加透明。我只是不知道怎么办。我真的希望在不涉及 javascript 的情况下做到这一点。
我认为 Rails 实现了类似的东西......也许使用 etags?
最佳答案
CSRF prevention cheat sheet 上列出了很多方法.一个不需要在每个表单上都有隐藏字段的是 to check the referer .请记住,缺少引用者应被视为 CSRF 攻击,并且可能会导致某些隐私浏览器插件出现问题(这种情况很少见)。
关于php - 无需隐藏所有形式的输入即可防止 CSRF,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11604065/