Http 注销时是否应刷新反CSRF令牌?
当用户从基于会话的站点注销时,是否应刷新其相应的反csrf令牌(存储在会话中) 如果应该刷新令牌,那么具体原因是什么?哪些可能的漏洞可能导致不刷新反CSRF令牌?官方认为是,应该刷新相应的反CSRF令牌,尽管这样做实际上没有什么安全好处: 请注意,此值对于每个会话都应该是唯一的。这保证了每个表单/请求都与经过身份验证的用户绑定,因此受到CSRF的保护。[…]令牌生成的标准频率是每个会话,因此请确保您的会话具有合理/可配置的超时。可以根据每个请求发布新令牌。但是,如果这种方法甚至适合您的应用程序,那么添加的保护可能是微不足道的 但是,如果在会话阶段(通常仅在登录/注销)屏幕本身发生主要更改的任何地方应用,则用户接受的答案确实具有安全优势。这可防止攻击者劫持受害者的活动会话: 这是通过cookie盗窃、客户端脚本编写、滥用Http 注销时是否应刷新反CSRF令牌?,http,security,csrf,Http,Security,Csrf,当用户从基于会话的站点注销时,是否应刷新其相应的反csrf令牌(存储在会话中) 如果应该刷新令牌,那么具体原因是什么?哪些可能的漏洞可能导致不刷新反CSRF令牌?官方认为是,应该刷新相应的反CSRF令牌,尽管这样做实际上没有什么安全好处: 请注意,此值对于每个会话都应该是唯一的。这保证了每个表单/请求都与经过身份验证的用户绑定,因此受到CSRF的保护。[…]令牌生成的标准频率是每个会话,因此请确保您的会话具有合理/可配置的超时。可以根据每个请求发布新令牌。但是,如果这种方法甚至适合您的应用程序,