无session CSRF保护(双重提交cookies)
在我的讲座中,他们推荐同步器令牌模式,不鼓励使用双重提交cookie 同步器令牌模式涉及会话的使用。我有理由不想使用会话(在高流量环境中性能不佳,很难在多台机器上共享)。因此,当我只剩下double submit cookies时,我需要理解为什么它们可能不如会话方法那样安全 org文章提到XSS是一个潜在的问题(因为表单HTML中包含的会话ID可以通过JS读取),但syncronizer令牌也可能出现这个问题(因为它们作为隐藏字段包含在表单中)。简而言之,XSS使任何CRSF保护都变得无用(如果您允许XSS,那么CSRF可能不是您最大的问题)无session CSRF保护(双重提交cookies),session,cookies,csrf,Session,Cookies,Csrf,在我的讲座中,他们推荐同步器令牌模式,不鼓励使用双重提交cookie 同步器令牌模式涉及会话的使用。我有理由不想使用会话(在高流量环境中性能不佳,很难在多台机器上共享)。因此,当我只剩下double submit cookies时,我需要理解为什么它们可能不如会话方法那样安全 org文章提到XSS是一个潜在的问题(因为表单HTML中包含的会话ID可以通过JS读取),但syncronizer令牌也可能出现这个问题(因为它们作为隐藏字段包含在表单中)。简而言之,XSS使任何CRSF保护都变得无用(如
那么,有什么理由让我远离双重提交cookies吗?是的,这是一个副本。抱歉,没有更彻底地搜索。