安全令牌问题请求
问题描述:
构建应用程序,当我使用一个令牌,以防止对形式的攻击安全令牌问题请求
每一种形式呈现它得到一个新的ONE TIME安全令牌的时间,我包括形式为隐藏的领域。该令牌也存储在会话中。
当表单被发送时,会根据会话中的令牌验证令牌以确保表单是合法的。这对标准页面非常有用。
问题 使用Ajax发送表单时,可能有多个页面上,一旦你送的这些形式之一,令牌,然后换了别人作为一个一次性权无效。
有没有人有建议呢?还是足够安全,可以在每次会话中生成一个令牌,并且每次发送表单时都使用该令牌而不是使令牌无效?
答
如果您想遵循您当前的方法,您可以在每次执行AJAX请求时生成一个安全令牌,并在AJAX响应中返回它,并在获取时将其注入隐藏。但是,我会重新考虑您当前的安全令牌方法。 Here你有一些关于OSWAP wiki的提示。
如果我在单独的选项卡中打开一些常规窗体,会发生什么情况?您是否一次在会话中保留多个有效令牌? – 2010-05-19 14:44:36
这是一个非常好的问题,说实话,我试图找出如何做一次令牌,目前我的令牌对于会话很有用,我想你的问题指出,Ajax不是唯一的问题。 – 2010-05-19 14:50:31