che ricrea il token CSRF dopo l'uso [duplicato]

0

È una buona pratica ricreare il token CSRF una volta che è stato usato (in pratica creare una nuova presa dopo l'invio di una richiesta)? O è una misura non necessaria da prendere? Il mio sistema attuale sta ricreando il token dopo ogni richiesta post / delete / put e al momento mi sta causando dei seri problemi con una parte del mio codice in cui devo fare più richieste POST una dopo l'altra, e dal momento che il sistema riavvia il token avvia la richiesta POST, le altre richieste ottengono l'errore "Token non valido".

    
posta Gasim 04.09.2014 - 21:01
fonte

1 risposta

5

Penso che dovresti creare / modificare il token su ogni accesso utente. Se cambi il token a metà sessione, invaliderà tutti i collegamenti che l'utente potrebbe aver aperto su nuove finestre. E avrai molti utenti confusi.

Se ci pensi, non c'è aggiunta alla sicurezza cambiando il token. Se un attaccante non può indovinare il primo tag, non sarà in grado di indovinare quello nuovo. Se il primo token è ipotizzabile, lo sarà anche qualsiasi altro token.

    
risposta data 04.09.2014 - 21:08
fonte

Leggi altre domande sui tag