Question

Я читал Эта статья о предотвращении CSRF путем создания одноразового токена, который будет отправляться как переменная в функции ajax вместе с сеансом, содержащим то же значение, что и в токене.Является ли это хорошей идеей, потому что мне действительно не нравится использование сессий специально с большим веб-сайтом, у которого все время много активных пользователей, что повлияет на общую производительность?

Kornel · Answer 1 · 21 марта 2012

Нет, nonce не является необходимым, если у вас будет уникальное, не поддающееся оценке значение для каждого пользователя.Это может быть, например, SHA1( user_id + "secret string nobody knows").

Я ответил о разнице между одноразовыми номерами и CSRF в другом вопросе:

https://stackoverflow.com/a/9803497/27009

Предотвращение CSRF путем генерации одноразового токена?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Предотвращение CSRF путем генерации одноразового токена?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы