2017-11-08 27 views
0

は、誰かが私を理解する助けてもらえ修正OWASP CSRFトークンのハイジャックは

https://github.com/aramrami/OWASP-CSRFGuard/commit/a494d4d7d7e9814fa0feaabf81f8264d10165ffb

そのコミットで唯一のヒントは、トークンが現在使用して除去し、フェッチされた」であります解決する別のPOSTリクエスト、トークンハイジャック問題。

この変更がトークンのハイジャックを防止する方法を説明できるかどうか、非常に感謝します。

答えて

0

method="get"を使用するフォームを保護するか保護しないように設定しているような場合(ほとんどの場合、デフォルト値はpostとなります)、XHR(Ajax )関連の変更を適用して、要求のHTTPヘッダーに設定値とは異なる値を設定します。