Security CSRF令牌在源代码中可见
如果我的跨站点请求伪造令牌可以在我的网页源代码中查看,我正在生产中运行rails应用程序,可以看到跨站点请求伪造令牌。我想它不应该是可查看的。只要令牌在每个用户会话中是足够随机和唯一的,如果在页面代码中看到它就完全可以了。Security CSRF令牌在源代码中可见,security,token,csrf,Security,Token,Csrf,如果我的跨站点请求伪造令牌可以在我的网页源代码中查看,我正在生产中运行rails应用程序,可以看到跨站点请求伪造令牌。我想它不应该是可查看的。只要令牌在每个用户会话中是足够随机和唯一的,如果在页面代码中看到它就完全可以了。 CSRF攻击假定恶意代码从不同的来源运行,并且无法访问用户的页面。有关更多详细信息,请参阅。我同意你的看法。但若CORS存在误解,攻击者可以偷窃。有没有办法不存储在那里?@Vis如果有CORS的错误配置,你会遇到比CSRF更糟糕的问题。
CSRF攻击假定恶意代码从不同的来源运行,并且无法访问用户的页面。有关更多详细信息,请参阅。我同意你的看法。但若CORS存在误解,攻击者可以偷窃。有没有办法不存储在那里?@Vis如果有CORS的错误配置,你会遇到比CSRF更糟糕的问题。