这是一个创建于 4084 天前的主题,其中的信息可能已经有所发展或是发生改变。
用的是CodeIgniter,不过这个问题应该跟CI无关 :-P
页面几乎不刷新,更新的内容很多,几乎没有Form元素。。。
如果启用CSRF Token的话,需要在Ajax处理中同时传递Token信息。
页面render时写个Token到页面倒还好说,如果一个Ajax请求提交后,
后续的Ajax请求怎么办?
现在的想法是:
每个Ajax请求返回结果都同时给一个新的Token回来,保存到页面上。
我的问题是感觉这样可能的工作量比较大,还有更好的方法么?
页面几乎不刷新,更新的内容很多,几乎没有Form元素。。。
如果启用CSRF Token的话,需要在Ajax处理中同时传递Token信息。
页面render时写个Token到页面倒还好说,如果一个Ajax请求提交后,
后续的Ajax请求怎么办?
现在的想法是:
每个Ajax请求返回结果都同时给一个新的Token回来,保存到页面上。
我的问题是感觉这样可能的工作量比较大,还有更好的方法么?
第 1 条附言 · 2013-09-17 12:29:19 +08:00
谢谢各位回复,看了下大家的意见,我想补充一下:
CSRF Token 是基于session的,我通过Ajax提交一个POST后,这个Token就更新了,页面拿着的就是老的了,下一个Ajax POST请求应该会失败才对。
我的需求是怎么才能“最方便”的更新页面内的Token
如果每个Ajax的Web服务器处理在输出结果(Json)时同时附加一个新Token的值,页面收到后再更新老的Token,也不是不能接受,只是修改的量可能比较多,需要每个人都这么去改。
不知道有没有更好的想法。
CSRF Token 是基于session的,我通过Ajax提交一个POST后,这个Token就更新了,页面拿着的就是老的了,下一个Ajax POST请求应该会失败才对。
我的需求是怎么才能“最方便”的更新页面内的Token
如果每个Ajax的Web服务器处理在输出结果(Json)时同时附加一个新Token的值,页面收到后再更新老的Token,也不是不能接受,只是修改的量可能比较多,需要每个人都这么去改。
不知道有没有更好的想法。
 |
1
hanhui 2013-09-17 10:21:59 +08:00
可以去看看微博、QQ、其他开源软件怎么做。
据我了解,Discuz、腾讯微博都是没有每次请求更换token的,而是每个登录session初始化一个token。腾讯微博的算法稍微复杂点,从cookie传过来,然会js解密换算后,通过url传递回去的;discuz通过forum filed提交。其实微博貌似都没用csrf token,简单看了下。 个人感觉通过session就够了。没有绝对的安全。 |
 |
2
luikore 2013-09-17 10:24:55 +08:00
不用更新, 用页面上那个就可以了. csrf token 只有一种目的: 防止跨站提交.
如果别人能截取到你提交的 token, 那他也能截取每次的返回结果, 已经是超出 csrf 的范围的问题了, 更新了也没用. |
|
4
hanhui 2013-09-17 10:54:49 +08:00
@luikore 我没让作者去看oauth部分。不过oauth获取code过程中也有防止csrf的字符串。我是让楼主去参考腾讯微博的csrf token设计。
|
 |
5
roricon 2013-09-17 12:06:04 +08:00  1
以jQuery为例,你ajax请求时多返回一条token的值,之后在callback函数里面用js更改token相关的HTML DOM.
|
 |
6
6711411 2013-09-17 18:06:01 +08:00
token 怎么会更新? session 没变, token 也不会变.
|
 |
7
fanzc 2013-09-17 18:34:32 +08:00 1
|
 |
8
breeswish 2013-09-17 21:36:45 +08:00 1
csrf-token的目的是,让攻击者不能伪造请求(如通过img发起的请求会带上cookie)。因此,csrf-token不需要每个请求都改变,只需要确保对于每个session不一致即可,同一个session内不变没有问题。
|
Select Language