具有多种形式的网页上的 CSRF 令牌?

Posted

技术标签:

【中文标题】具有多种形式的网页上的 CSRF 令牌?【英文标题】:CSRF token on a web page with multiple forms? 【发布时间】:2021-02-01 23:14:50 【问题描述】:

当启用 CSRF 并且一个网页有多个表单时,是所有表单都有相同的 csrf 令牌还是每个表单都有一个唯一的 csrf 令牌?

如果这是依赖于框架的,那么它在 Spring Security 的上下文中是如何工作的?

【问题讨论】:

【参考方案1】:

CSRF 不与表单或其他东西相关联,而是与每个请求相关联。

每个单独的请求都包含新的 csrf 令牌。

【讨论】:

以上是关于具有多种形式的网页上的 CSRF 令牌?的主要内容,如果未能解决你的问题,请参考以下文章

405 方法不允许,弹簧启动,但我使用了 csrf 令牌头

_csrf 令牌在同一个 JSP 中的 2 种形式(CSRF 保护)

尽管以表单形式发送 CSRF 令牌,但不支持 Spring Security CSRF 405 方法 POST

反应形式 CSRF 安全

XSS SQL CSRF

带有 CSRF 令牌和会话的 Symfony 4 功能形式测试