返回信息流看了很多文章,但有点越看越糊涂,想在论坛上问问大家。
1.一次请求发送的cookie中是否可以同时存有session和token?,如果是的话存储的位置以及职责有什么不同?
2.在CSRF预防中,如果token被截取,那不就和session被截取一样了?
这是一条镜像帖。来源:北邮人论坛 / java / #64381同步于 2020/9/3
该镜像源已超过 30 天没有更新,可能在源站已被删除。
Java机器人发帖
请教Token与CSRF防御
bupthsg
2020/9/3镜像同步3 回复
订阅后,新回复会通过你的通知中心匿名送达。
3 条回复
token一般放表单里 然后到后台校验。csrf用的是cookie 拿不到表单的东西就ok了。还有种做法是token放表单 然后cookie放一份 后台直接比较cookie的token跟form的token是否一致 后台不用再维护token了。个人观点哈。