comment générer et valider les jetons csrf

quelle est la meilleure façon de générer un jeton csrf et de vérifier. De ce que j'ai pu recueillir, même si vous avez un champ de formulaire masqué dans un "post" sous forme d'un hacker peut simplement obtenir ce formulaire en utilisant ajax, prenez le jeton csrf et en envoyer une autre demande sur le site pour soumettre le formulaire.

Et si nous sommes pour vérifier les en-têtes envoyés pour nous... le hacker peut simplement envoyer le jeton csrf à un serveur de script côté qui sera alors émuler les en-têtes http.

Alors, comment fait-on réellement générer et vérifier les jetons csrf?

OriginalL'auteur Amit | 2011-05-12

  1. 7

    Tous la base de jeton CSRF protections peuvent être vaincus avec XSS, qui est-ce qui vous semble "avoir été en mesure de recueillir. Ce sera une bonne lecture pour vous: OWASP sur CSRF

    donc, si je m'attaque XSS sur mon site, je vais être en mesure d'utiliser la base de jetons CSRF de la prévention?
    En principe oui, mais il n'est pas trivial. Si vous suivez les directives dans ce lien, vous serez en assez bonne forme.

    OriginalL'auteur e.dan