проблема с токеном безопасности с запросами ajax

Question

при создании приложений я использую токен для предотвращения атак на формы

каждый раз при визуализации формы она получает новый ONE TIME токен безопасности, который я включаю в форму как скрытое поле. этот токен также сохраняется в сеансе.

при отправке формы токен сверяется с токеном в сеансе, чтобы убедиться, что форма легитимна. Это прекрасно работает для стандартных страниц.

ПРОБЛЕМА При использовании Ajax для отправки форм на странице может быть несколько элементов. После отправки одной из этих форм токен становится недействительным для остальных, поскольку он является одноразовым.

Кто-нибудь есть совет для этого? или он достаточно безопасен, чтобы генерировать один токен на сеанс и просто использовать его вместо аннулирования токена при каждой отправке формы?

Answer 1

Если вы хотите следовать своему текущему подходу, вы можете генерировать токен безопасности каждый раз, когда вы делаете запрос AJAX, возвращать его в ответе AJAX и вставлять его в скрытое, когда вы его получаете. Однако я бы переосмыслил ваш нынешний подход к токенам безопасности. Здесь у вас есть несколько советов по этому поводу в вики OSWAP.