Come viene verificato il token CSRF?

1

Mi piacerebbe sapere come vengono verificati i token CSRF sul modulo submit?

Per favore dimmi se il seguente è corretto:

  • Il server emette una stringa casuale che viene impostata come cookie di sessione e un valore per il campo nascosto nel modulo.

  • Nel modulo submit, il server controlla il cookie di sessione con il valore del campo nascosto per l'uguaglianza, se i valori non sono uguali non elaborerà la richiesta.

posta sri ramakrishnan 23.06.2016 - 16:27
fonte

1 risposta

2

Sì, questo è un possibile approccio alla difesa contro CSRF. Si chiama modello di invio doppio cookie .

Il modello di token del sincronizzatore - il secondo token non è memorizzato in un cookie ma sul lato server nella sessione - è un po 'più comune nella pratica però.

    
risposta data 23.06.2016 - 18:46
fonte

Leggi altre domande sui tag