不是很清楚防御csrf攻击的流程尤其是token是怎么生成的?为什么前后端会对应的上?是不是还要一个请求让后端把每次不同的token给前端?
CSRF token
session
token
对称加密
下发是服务端如何把生成的CSRF token传给客户端,方式很多了,看客户端怎么方便提取并传给后端。
Set-Cookie
上送:是客户端调用接口时提取CSRF token并传给服务。看请求接口类型也后很多上送方式。
GET
Form POST
AJAX
fetch
Seesion
摘自gitHub笔记
2.1m questions
2.1m answers
62 comments
56.7k users