Security CSRF令牌的生命周期应该是多长?
我应该为我的CSRF令牌设置较短的生存期,还是可以让它持续到会话的长度?令牌不是访问令牌,并且不像承载令牌那样具有生存期。它们是使用会话信息生成的Security CSRF令牌的生命周期应该是多长?,security,session,csrf,Security,Session,Csrf,我应该为我的CSRF令牌设置较短的生存期,还是可以让它持续到会话的长度?令牌不是访问令牌,并且不像承载令牌那样具有生存期。它们是使用会话信息生成的 csrf\u-token=HMAC(会话\u-token,应用程序\u-secret) CSRF向您的请求添加附加信息,以便服务器验证来自授权位置的请求 它只影响浏览器自动发送授权信息的请求(cookie auth或basic/digest scheme)如果授权信息持续会话的生命周期,那么如果授权信息被盗,则可能在会话的生命周期内被滥用。。。它应该
csrf\u-token=HMAC(会话\u-token,应用程序\u-secret)它只影响浏览器自动发送授权信息的请求(cookie auth或basic/digest scheme)如果授权信息持续会话的生命周期,那么如果授权信息被盗,则可能在会话的生命周期内被滥用。。。它应该是一次性的useNo@MarcB。CSRF令牌的特殊之处在于它不是cookie,因此不会在每次请求时自动发送。会话寿命很好。下面是正确的。相关问题:它们不必与会话相关。也可以是每个请求。为什么生成包含会话信息?为什么不使用完全随机的值呢?这是身份验证信息,而不是授权信息。是的,请保护您的会话ID。不要不必要地公开它。将会话ID用作HMAC计算的输入不会公开ID本身。您无法从HMAC获取ID。