CSRF防御,一般会由服务器生成一个随机的token,这个token会在页面form表单提交时一起提交给服务器,以此来判断是否请求是CSRF请求。那么,这个token一般放在Session还是Cookie中,还是都行?
Session中,Cookie可以伪造
放在form的隐藏域或者具有http_only属性的cookie字段中也是可以的,session中有点浪费服务器资源
一份放在session中,另一份放表单域,提交的时候验证是否一致。
放在前端不管放哪都可以伪造,token不就是为了权限控制和防止数据伪造吗,所以放前端哪里都一样
都不行,只能放到 form
的一个隐藏中控件中。