Предотвращение CSRF путем генерации одноразового токена?

Question

Предотвращение CSRF путем генерации одноразового токена?

Я читал эту статью о предотвращении CSRF путем создания одноразового токена, который будет передаваться как переменная в функции ajax вместе с сеансом, содержащим то же значение, что и в токене. Является ли это хорошей идеей, потому что мне действительно не нравится использование сессий специально с большим веб-сайтом, у которого все время много активных пользователей, что повлияет на общую производительность?

1

c# asp.net token csrf nonce

Источник

user637812 01 май '11 в 12:46

1 ответ

Другие вопросы по тегам c# asp.net token csrf nonce

user27009 21 мар '12 в 11:22 2012-03-21 11:22 · Answer 1 · 2012-03-21 11:22

Нет, nonce не является необходимым, если у вас будет уникальное, неосуществимое значение для каждого пользователя. Это может быть, например, SHA1( user_id + "secret string nobody knows"),

Я ответил о разнице между одноразовыми номерами и CSRF в другом вопросе:

/questions/28837290/tokenyi-csrf-protiv-putanitsyi-nonce-oni-odinakovyie/28837295#28837295